Lỗ hổng CVE CVE-2026-7482 trong Ollama đang gây chú ý vì có thể dẫn đến rò rỉ bộ nhớ từ các triển khai lộ Internet. Vấn đề này, được đặt tên là Bleeding Llama, cho phép kẻ tấn công không cần xác thực truy cập tiến trình Ollama và trích xuất dữ liệu nhạy cảm trực tiếp từ memory.
Lỗ hổng CVE trên Ollama và mức độ ảnh hưởng
Ollama là nền tảng được dùng rộng rãi để chạy mô hình AI cục bộ. Theo mô tả nghiên cứu, khoảng 300.000 server có thể bị ảnh hưởng nếu đang exposed ra Internet. Lỗ hổng CVE này được gán CVSS 9.1, phản ánh mức độ nghiêm trọng cao trong môi trường doanh nghiệp và hạ tầng AI.
Tham khảo thêm từ nguồn công khai: CISA.
Điểm nguy hiểm của cảnh báo CVE này nằm ở chỗ kẻ tấn công chỉ cần 3 API calls để lấy các nội dung như prompt, system instructions và environment variables từ các triển khai bị lộ.
Chuỗi khai thác lỗ hổng CVE-2026-7482
Lỗ hổng CVE liên quan đến luồng tạo model trong Ollama, đặc biệt khi hệ thống xử lý file tải lên qua API và chuẩn bị cho bước chuyển đổi, lưu trữ. Ollama cho phép tạo model instance từ các file upload, bao gồm GGUF model files.
Nguyên nhân kỹ thuật đến từ việc file GGUF được tạo dựng độc hại có thể khai báo kích thước tensor lớn hơn rất nhiều so với dữ liệu thực tế trong file. Khi đó, server có thể đọc vượt quá buffer dự kiến, dẫn đến out-of-bounds heap read.
Cơ chế đọc tràn bộ nhớ
Vulnerable path xuất hiện trong quá trình chuyển đổi tensor. Ollama sử dụng chức năng unsafe của Go cho thao tác bộ nhớ mức thấp, thay vì giới hạn trong vùng an toàn thông thường. Khi metadata tensor không khớp với kích thước file thực, routine chuyển đổi có thể đọc lẫn sang vùng heap bên cạnh.
Dữ liệu bị đọc tràn sau đó không bị loại bỏ mà được đưa tiếp vào file model mới. Đây là điểm khiến lỗ hổng CVE trở nên đặc biệt nguy hiểm, vì bộ nhớ rò rỉ có thể được đóng gói và chuyển đi cùng kết quả tạo model.
Điều kiện giúp dữ liệu bị rò rỉ giữ nguyên dạng đọc được
Nghiên cứu cho biết kẻ tấn công có thể giữ phần memory leak ở dạng có thể đọc được trong quá trình chuyển đổi. Bằng cách dùng float-16 source tensor và ép sang float-32 destination, attacker có thể tận dụng đường chuyển đổi không mất dữ liệu để bảo toàn các byte đã trích xuất.
Điều này làm tăng hiệu quả khai thác, vì dữ liệu không bị phá hỏng bởi quá trình quantization mất mát. Trong bối cảnh lỗ hổng CVE ảnh hưởng đến AI infrastructure, đây là một vector rò rỉ dữ liệu trực tiếp từ memory sang file model mới tạo.
Hệ quả của lỗ hổng CVE đối với dữ liệu nhạy cảm
Khi model độc hại đã được tạo, chức năng push của Ollama có thể tải model lên server do attacker kiểm soát. Khi đó, dữ liệu bị rò rỉ trong memory của hệ thống đích sẽ bị exfiltrate ra ngoài.
Theo nghiên cứu, heap data bị lộ có thể bao gồm:
- User prompts từ các phiên làm việc đang xử lý.
- System prompts của các model khác.
- Environment variables trên máy host chạy Ollama.
- API keys và thông tin bí mật ứng dụng.
- Internal instructions và nội dung nghiệp vụ nội bộ.
- Proprietary code hoặc dữ liệu liên quan khách hàng.
Trong môi trường doanh nghiệp, lỗ hổng CVE này có thể làm lộ nội dung xử lý bởi AI workflows, đặc biệt khi Ollama được tích hợp với external tools hoặc coding assistants. Các đầu ra này cũng có thể đi qua memory và bị trích xuất cùng với dữ liệu khác.
Phiên bản bị ảnh hưởng và bản vá bảo mật
Lỗ hổng CVE-2026-7482 ảnh hưởng đến các triển khai Ollama trước phiên bản 0.17.1. Đây là phiên bản có chứa security fix được nhắc tới trong nghiên cứu và Echo CVE Numbering Authority.
Các tổ chức đang vận hành Ollama nên cập nhật bản vá ngay lập tức. Nếu hệ thống từng bị phơi ra Internet, cần giả định rằng prompts và environment data có thể đã bị đọc trộm qua lỗ hổng CVE này.
Biện pháp giảm thiểu rủi ro bảo mật
Đối với các hệ thống đang có nguy cơ bảo mật từ lỗ hổng CVE, cần thực hiện đồng thời nhiều bước giảm thiểu. Mục tiêu là loại bỏ khả năng truy cập trái phép, hạn chế bề mặt tấn công và thu hồi mọi thông tin có thể đã bị lộ.
- Upgrade ngay lên Ollama 0.17.1 hoặc bản đã vá.
- Gỡ bỏ mọi cấu hình public exposure nếu không bắt buộc.
- Đặt Ollama sau lớp authentication controls.
- Giới hạn truy cập chỉ từ trusted internal networks.
- Rà soát log của các hệ thống từng exposed Internet.
- Rotate secrets nếu có khả năng environment variables đã bị lộ.
- Đánh giá lại các tích hợp external tools và coding assistants.
Khi xử lý lỗ hổng CVE này, cần coi mọi dữ liệu prompt và biến môi trường trên máy chủ bị ảnh hưởng là đã có thể bị đọc trái phép. Việc cập nhật bản vá chỉ là bước đầu; môi trường còn phải được kiểm tra lại để giảm thiểu rủi ro an toàn thông tin còn tồn đọng.
Liên hệ với nội dung nghiên cứu
Báo cáo kỹ thuật gốc mô tả rõ rằng chuỗi khai thác bắt đầu từ file GGUF được chế tạo đặc biệt, đi qua quá trình tensor conversion, rồi kết thúc ở việc xuất dữ liệu memory ra model file mới. Điều này cho thấy lỗ hổng CVE không chỉ là lỗi đọc bộ nhớ đơn lẻ mà còn là một đường rò rỉ dữ liệu hoàn chỉnh trong luồng xử lý model.
Trong bối cảnh triển khai AI nội bộ, quản trị viên nên ưu tiên phát hiện các server Ollama có dấu hiệu exposed, kiểm tra phiên bản, và xác minh rằng các chính sách truy cập đã chặn toàn bộ truy cập không xác thực. Lỗ hổng CVE này đặc biệt đáng chú ý vì có thể làm lộ cả dữ liệu vận hành lẫn thông tin nhạy cảm từ các workflow AI đang chạy.
