В Ollama обнаружена уязвимость CVE-2026-5757, из-за которой злоумышленник с доступом к интерфейсу загрузки моделей может прочитать часть памяти сервера и вывести данные через специально подготовленный файл модели. Проблему 22 апреля 2026 года опубликовал CERT/CC. На момент публикации исправления нет: CERT/CC указал, что ответа от вендора не получил.
Ollama — популярный open-source-инструмент для локального запуска больших языковых моделей на Windows, macOS и Linux. Риск связан с обработкой файлов GGUF (GPT-Generated Unified Format) — формата, в котором хранятся параметры и веса моделей. Уязвимый участок находится в механизме квантизации: он снижает точность чисел в модели, чтобы уменьшить нагрузку на память и ускорить работу.
Сценарий атаки такой: атакующий загружает специально созданный GGUF-файл, запускает квантизацию, а уязвимый код доверяет метаданным из заголовка файла. Размеры данных не сверяются с реальным содержимым, из-за чего приложение может прочитать память за пределами допустимого буфера. Затем эти данные попадают в новый слой модели, который можно выгрузить через registry API на сервер атакующего.
В утекшей heap-памяти могут оказаться API-токены, ключи шифрования, учётные данные, фрагменты пользовательских запросов и другая служебная информация. CERT/CC описывает риск как удалённое раскрытие информации без аутентификации при наличии доступа к загрузке моделей
Это не первый серьёзный инцидент вокруг Ollama. В 2024 году Wiz Research описала CVE-2024-37032, также известную как Probllama: уязвимость позволяла добиться удалённого выполнения кода через path traversal и была исправлена в версии 0.1.34. Тогда исследователи отдельно отмечали, что Ollama по умолчанию слушает localhost, но Docker-развёртывания часто оказываются доступными извне.
Проблема усиливается массовыми ошибками конфигурации. В январе 2026 года исследование SentinelLABS и Censys выявило около 175 тыс. публично доступных Ollama-хостов в 130 странах. Почти половина таких узлов показывала поддержку tool calling — механизма, который позволяет модели обращаться к внешним инструментам, API и системным функциям.
Администраторам сейчас лучше считать загрузку моделей недоверенным входом, как загрузку архива или контейнерного образа. Рабочий минимум: отключить загрузку моделей там, где она не нужна, закрыть доступ к Ollama из интернета, оставить интерфейс только в доверенной сети, принимать модели из проверенных источников и следить за появлением исправления.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
