-
09/04/2020
-
132
-
1.869 bài viết
Bleeding Llama: Lỗ hổng rò rỉ bộ nhớ đe dọa 300.000 máy chủ Ollama toàn cầu
Một lỗ hổng nghiêm trọng vừa được phát hiện trong nền tảng chạy AI cục bộ Ollama đang khiến hàng trăm nghìn máy chủ đối mặt nguy cơ rò rỉ dữ liệu. Chỉ với vài yêu cầu API đơn giản, tin tặc có thể đọc trực tiếp dữ liệu trong bộ nhớ hệ thống và âm thầm đánh cắp prompt người dùng, khóa API, biến môi trường, dữ liệu nội bộ doanh nghiệp và nhiều thông tin nhạy cảm khác.
Lỗ hổng được đặt tên “Bleeding Llama” với mã định danh là CVE-2026-7482 (CVSS 9,1), ảnh hưởng tới khoảng 300.000 máy chủ Ollama trên toàn cầu. Theo các nhà nghiên cứu tại Cyera, đây là một trong những lỗi nguy hiểm nhất từng được phát hiện trên hạ tầng AI tự lưu trữ do khả năng trích xuất dữ liệu trực tiếp từ vùng nhớ đang hoạt động của hệ thống.
Ollama đăng tải các mô hình có hình ảnh bị rò rỉ (nguồn: Cyera)
Theo báo cáo kỹ thuật, lỗ hổng nằm trong quy trình Ollama xử lý các tệp GGUF khi khởi tạo mô hình AI mới. Kẻ tấn công có thể tạo một tệp GGUF độc hại với metadata tensor giả mạo, khai báo kích thước tensor lớn hơn nhiều so với lượng dữ liệu thực tế tồn tại trong tệp. Khi Ollama tiến hành chuyển đổi tensor, hệ thống sẽ bị đánh lừa để đọc vượt ra ngoài phạm vi bộ nhớ hợp lệ.
Kẻ tấn công gửi tensor GGUF bị lỗi định dạng, gây ra hiện tượng đọc vượt quá dung lượng bộ nhớ (nguồn: Cyera)
Nguyên nhân nằm ở việc Ollama sử dụng các thao tác bộ nhớ cấp thấp thông qua cơ chế unsafe của Go nhưng lại không kiểm tra chặt chẽ sự khớp đúng giữa metadata và kích thước dữ liệu thực. Điều này khiến hệ thống vô tình kéo theo các dữ liệu nhạy cảm nằm trong vùng nhớ lân cận. Đáng chú ý, kẻ tấn công còn có thể bảo toàn gần như nguyên vẹn phần dữ liệu bị rò rỉ bằng cách ép quá trình chuyển đổi từ định dạng float-16 sang float-32, giúp các byte bộ nhớ đánh cắp không bị hỏng trong quá trình lượng tử hóa dữ liệu.
Việc đảo ngược lượng tử hóa làm lộ dữ liệu vùng nhớ heap (nguồn: Cyera)
Sau khi model chứa dữ liệu rò rỉ được tạo thành công, tin tặc chỉ cần sử dụng tính năng “push” để âm thầm chuyển model này về máy chủ do chúng kiểm soát. Toàn bộ thông tin từng xuất hiện trong vùng nhớ Heap của hệ thống nạn nhân khi đó có nguy cơ bị lộ, bao gồm lịch sử prompt người dùng, system prompt, API key, mật khẩu cơ sở dữ liệu và nhiều cấu hình nội bộ nhạy cảm của doanh nghiệp.
Lỗ hổng ảnh hưởng tới toàn bộ các phiên bản Ollama trước 0.17.1, buộc người dùng và doanh nghiệp phải nhanh chóng triển khai biện pháp phòng vệ. Các chuyên gia khuyến nghị cần cập nhật ngay lên phiên bản mới để vá lỗi xử lý bộ nhớ, đồng thời tuyệt đối không để dịch vụ Ollama truy cập trực tiếp từ Internet mà nên đặt sau các lớp xác thực hoặc giới hạn trong mạng nội bộ tin cậy.
Với những hệ thống từng công khai ra ngoài Internet, giới nghiên cứu cảnh báo cần xem xét lại toàn bộ nhật ký truy cập, theo dõi các dấu hiệu khởi tạo model bất thường và thay đổi toàn bộ API key, secrets hoặc thông tin xác thực nhạy cảm nhằm giảm nguy cơ dữ liệu đã bị đánh cắp trước đó.
Lỗ hổng ảnh hưởng tới toàn bộ các phiên bản Ollama trước 0.17.1, buộc người dùng và doanh nghiệp phải nhanh chóng triển khai biện pháp phòng vệ. Các chuyên gia khuyến nghị cần cập nhật ngay lên phiên bản mới để vá lỗi xử lý bộ nhớ, đồng thời tuyệt đối không để dịch vụ Ollama truy cập trực tiếp từ Internet mà nên đặt sau các lớp xác thực hoặc giới hạn trong mạng nội bộ tin cậy.
Với những hệ thống từng công khai ra ngoài Internet, giới nghiên cứu cảnh báo cần xem xét lại toàn bộ nhật ký truy cập, theo dõi các dấu hiệu khởi tạo model bất thường và thay đổi toàn bộ API key, secrets hoặc thông tin xác thực nhạy cảm nhằm giảm nguy cơ dữ liệu đã bị đánh cắp trước đó.
Tổng hợp
Chỉnh sửa lần cuối: