サイバーセキュリティ研究者は、大規模言語モデルをローカルで実行するために使用される一般的なオープンソースプラットフォームであるOllamaの深刻なパッチが未適用の脆弱性を発見しました。
CVE-2026-5757として追跡されているこの重大な欠陥は、Ollamaのモデル量子化エンジンに存在します。悪用されると、認証されていない攻撃者が悪意のあるAIモデルファイルをアップロードするだけで、機密サーバーデータを盗むことができます。
エクスプロイトの仕組み
パフォーマンスと効率を向上させるため、OllamaはAIモデルの数値精度を低下させる量子化を使用しています。
しかし、研究者はGPT生成統一フォーマット(GGUF)ファイルの処理におけるエンジンの境界外メモリ脆弱性を発見しました。
攻撃者が特別に設計されたGGUFファイルをアップロードして量子化プロセスをトリガーすると、サーバーに安全なメモリ制限を超えて読み取らせることができます。
この危険なエクスプロイトは、3つの組み合わされた要因によって可能になります。
- エンジンはユーザーから提供されたファイルメタデータを盲目的に信頼し、それが提供されたデータサイズと実際に一致するかどうかを確認しません。
- ソフトウェアはGoで安全でないメモリ操作を使用して、アプリケーションのヒープに遠く拡張するデータスライスを作成します。
- システムは漏洩したメモリを新しいモデル層に誤って書き込み、攻撃者がOllamaのレジストリAPIを介して盗まれたデータを外部サーバーにプッシュできるようにします。
この脆弱性はサーバーのコアヒープへの不正アクセスを許可するため、これらのモデルをホストしている組織にとって結果は壊滅的である可能性があります。攻撃者は、通常の操作中にシステムのメモリに一時的に保存されている非常に機密なデータを静かに読み取って抽出できます。
この不要な露出は、APIキー、プライベートユーザーデータ、または独自の知的財産の盗難に速く導く可能性があります。
さらに、悪意のある行為者はこの不正アクセスを利用してサーバーをより広くコントロールし、基礎となるネットワークを侵害し、標準的なセキュリティアラームをトリガーせずにこっそりとした永続性を確立できます。
この脆弱性は、セキュリティ研究者Jeremy Brownによって最初に発見されました。彼はAI支援脆弱性研究方法を使用してそれを発見しました。
2026年4月下旬の時点で、CERT調整センターはベンダーに連絡することができず、現在利用可能な公式パッチがないことを意味しています。
Ollamaを実行している組織と開発者は、潜在的な攻撃からAIデプロイメントを保護するための即座の手動ステップを実行する必要があります。
悪用のリスクを軽減するために、管理者は以下のセキュリティ対策を実装する必要があります。
- すぐに、すべての公開サーバー上でモデルアップロード機能を制限またはオフにします。
- すべてのOllamaデプロイメントをローカル、分離された、または高度に信頼されたネットワーク環境に限定します。
- 検証済みおよび非常に信頼できるソースからのみAIモデルを受け入れ、ダウンロード、および実行してください。
- 不正な外部接続とデータ流出を防ぐために、厳格なネットワーク検証制御を適用します。
翻訳元: https://gbhackers.com/hackers-exploit-ollama-model-uploads-to-leak-server-data/
