数据观澜网络安全
快捷导航
您的位置:首页>物联网>>Ollama AI模型发现六大漏洞,能导致DoS攻击、模型中毒 >

Ollama AI模型发现六大漏洞,能导致DoS攻击、模型中毒

  发布时间:2025-12-07 15:02:41   作者:玩站小弟   我要评论
据The Hacker News消息,网络安全研究人员披露了 Ollama 人工智能模型中的六个安全漏洞,攻击者可能会利用这些漏洞执行各种操作。Ollama 是一个开源应用程序,允许用户在 Windo 。

据The 模型Hacker News消息,网络安全研究人员披露了 Ollama 人工智能模型中的发现六个安全漏洞 ,攻击者可能会利用这些漏洞执行各种操作 。大漏洞能导致毒

Ollama 是击模一个开源应用程序 ,允许用户在 Windows 、型中Linux 和 macOS 设备上本地部署和操作大型语言模型 (LLM)。模型迄今为止 ,发现该模型在 GitHub 上的大漏洞能导致毒项目存储库已被分叉 7600 次。云计算

研究员在一份报告中指出,击模这些漏洞可能允许攻击者通过单个 HTTP 请求执行广泛的型中恶意操作 ,包括拒绝服务 (DoS) 攻击、模型模型中毒、发现模型盗窃等 。大漏洞能导致毒

这 6 个漏洞的击模简要描述如下 -

CVE-2024-39719(CVSS 评分 :7.5):攻击者可以使用 /api/create 端点利用该漏洞来确定服务器中是否存在文件(已在版本 0.1.47 中修复)CVE-2024-39720(CVSS 评分 :8.2):越界读取漏洞,可通过 /api/create 端点导致应用程序崩溃 ,高防服务器型中从而导致 DoS 情况(已在 0.1.46 版本中修复)CVE-2024-39721(CVSS 分数:7.5) :在将文件“/dev/random”作为输入传递时 ,重复调用 /api/create 端点时,会导致资源耗尽并最终导致 DoS 的漏洞(已在 0.1.34 版本中修复)CVE-2024-39722(CVSS 分数 :7.5) :api/push 端点中的路径遍历漏洞,暴露了服务器上存在的文件以及部署 Ollama 的整个目录结构(已在 0.1.46 版本修复)无 CVE 标识符,未修补 漏洞 :可通过来自不受信任的来源的源码库 /api/pull 终端节点导致模型中毒无 CVE 标识符 ,未修补 漏洞: 可能导致通过 /api/push 终端节点向不受信任的目标进行模型盗窃

对于上述两个未解决的漏洞 ,Ollama 的维护者建议用户通过代理或 Web 应用程序防火墙过滤哪些端点暴露在了互联网上 。

研究人员称,发现了 9831 个运行 Ollama 面向互联网的独特实例 ,其中大多数位于美国 、模板下载中国、德国、韩国 、中国台湾 、法国 、英国、印度、新加坡和中国香港 。其中有四分之一的服务器被认为容易受到这些漏洞的源码下载影响。

另外,云安全公司Wiz在四个多月前披露了一个影响Ollama的严重漏洞(CVE-2024-37032),该漏洞可被利用来实现远程代码执行。

研究人员表示,因为Ollama 可以上传文件,并具有模型拉取和推送功能,因此将未经授权的Ollama暴露在互联网上,亿华云就相当于将Docker套接字暴露在公共互联网上   ,从而容易被攻击者利用。

  • Tag:

相关文章

  • 保护数字前沿:下一代防火墙如何塑造网络安全的未来

    在当今互联的世界中,网络威胁变得越来越复杂,对强有力的网络安全措施的需求从未如此迫切。随着企业和个人越来越依赖数字平台,网络攻击和数据泄露的风险日益凸显。在这种背景下,下一代防火墙(NGFW)已成为保
    2025-12-07

  • 以原版ISO系统安装教程(实现系统自定义安装,保证操作系统稳定流畅)

    近年来,随着电脑操作系统的不断更新换代,各种定制化版本层出不穷。然而,许多用户却发现这些版本在使用过程中存在诸多问题,例如兼容性差、性能低下等。与此同时,原版ISO系统安装成为了一种热门的选择,因其稳
    2025-12-07

  • 探索三星S6Edge的魅力(体验颠覆性设计与卓越性能的三星旗舰手机)

    在现代社会,手机已经成为了人们生活中不可或缺的一部分。而作为一款备受瞩目的旗舰手机,三星S6Edge以其独特的曲面屏设计和出色的性能引发了广泛关注。本文将深入探索三星S6Edge的各项特点和功能,为读
    2025-12-07

  • 安卓5.0彩蛋怎么玩?

    安卓5.0彩蛋怎么玩?小编带来了安卓android5.0彩蛋汇总,棒棒糖系统里面包含了哪些彩蛋呢?如果你想知道的话,就请看下文的介绍吧。 进入设置、关于界面,连续点击版本号,就会出现大号
    2025-12-07

  • 确保未来安全的五大挑战

    信息安全在过去是引人深思的话题,现在已经成为关键环节,而在未来将成为决定性因素。有些行动必须在微观/个人层面解决,但在行业层面,我们必须合作解决,共同应对这些前进过程中的挑战。经济安全中很明确指出了:
    2025-12-07

  • Xbox 没有 Android 应用程序支持,现在完全专注于

    微软正在努力在 Windows 11 上引入 Android 应用程序,虽然该功能在下个月操作系统发布的第一天不可用,但最近在 Microsoft Store 中的列表证实了这个雄心勃勃的发布也不是很
    2025-12-07

最新评论