国家漏洞库CNNVD：关于Ollama安全漏洞的通报

近日，国家信息安全漏洞库（CNNVD）收到关于Ollama安全漏洞（CNNVD-202503-081）情况的报送。未经授权的攻击者可在远程条件下调用Ollama服务接口，执行包括但不限于敏感模型资产窃取、虚假信息投喂、模型计算资源滥用和拒绝服务、系统配置篡改和扩大利用等恶意操作。Ollama所有版本均受此漏洞影响。目前，Ollama暂未发布修复措施，但可以参考临时修复办法缓解漏洞带来的危害。

一、漏洞介绍

Ollama是一个本地私有化部署大语言模型（LLM，如DeepSeek等）的运行环境和平台，简化了大语言模型在本地的部署、运行和管理过程，具有简化部署、轻量级可扩展、API支持、跨平台等特点，在AI领域得到了较为广泛的应用。Ollama存在安全漏洞，该漏洞源于默认未设置身份验证和访问控制功能，未经授权的攻击者可在远程条件下调用Ollama服务接口，执行包括但不限于敏感模型资产窃取、虚假信息投喂、模型计算资源滥用和拒绝服务、系统配置篡改和扩大利用等恶意操作。

二、危害影响

Ollama所有版本均受此漏洞影响。

三、修复建议

目前，Ollama官方暂未发布修复措施，但可以参考临时修复办法缓解漏洞带来的危害。官方临时修复办法链接：

https://github.com/ollama/ollama/blob/main/docs/faq.md

本通报由CNNVD技术支撑单位——华为技术有限公司、深信服科技股份有限公司、内蒙古启正信息科技有限公司、云南南天电子信息产业股份有限公司提供支持。

CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。联系方式: cnnvd@itsec.gov.cn

声明：本文来自CNNVD安全动态，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。