Six Vulnerabilities Uncovered in Ollama: Risks of AI Model Theft and Poisoning
2024/11/03 SecurityOnline — ローカル/クラウドのインフラ上で LLM (large language models) を実行する、人気オープンソース・フレームワークである Ollama に、6つの脆弱性が発見された。エンターテイメント AI 環境において Ollama の使用が急増する中で、これらの脆弱性が浮き彫りにするのは、AI ツールを導入する組織にとっての深刻なリスクである。
新たに発見された6つの脆弱性のうち、4つに対しては正式な CVE が割り当てられている。その一方で、最近のアップデートで修正された残りの2つに関しては、Ollama の保守担当者が異議を唱え、”shadow vulnerabilities” として分類されている。
Oligo Security のレポートでは、「すべての脆弱性を組み合わせる攻撃者は、単一の HTTP リクエストにより、サービス拒否 (DoS) 攻撃/モデル汚染/モデル盗難などを含む、幅広い悪意の行為を実行する可能性を手にする」と指摘している。
- CVE-2024-39719:システム機密情報の外部漏えい
サーバ上のファイルの所在を示す、基本的な情報が漏洩することで、脅威アクターによるアプリケーションの悪用が容易になる。 - CVE-2024-39720:境界外読み取り
この脆弱性は、不適切なメモリ処理に起因するものであり、CreateModel ルートを通じてアプリケーションをクラッシュさせた攻撃者に対して、セグメンテーション・フォールトを許すことになる。不正な形式のモデル・ファイルを処理する際に、アプリケーションをクラッシュさせることで、サービス拒否状態に至る可能性もある。 - CVE-2024-39721:CreateModel ルートにおける無限ループ
細工された API コールにより、サーバが無限ループに陥り、CPU リソースが枯渇する可能性がある。不適切なパラメータを用いて、api/create エンドポイントを複数回呼び出すと、CPU 使用率が上昇し、サービス拒否につながると、Oligo は説明している。 - CVE-2024-39722:パス・トラバーサル
この脆弱性の悪用に成功した攻撃者は、サーバのファイル構造を把握し、機密性の高いディレクトリを侵害する可能性を手にする。モデル管理に使用される api/push ルートは、サーバのディレクトリ内容の公開に悪用される、ファイルパスのエラーを反映していると指摘された。
Ollama のモデル管理エンドポイントである、api/pull および api/push には、十分な認証制御が存在しないため、深刻なセキュリティ・リスクが生じる恐れがある。この欠陥を悪用する攻撃者は、未検証の (HTTP) ソースからのモデルのプルや、未検証のソースへのモデルのプッシュを達成にする。その結果として、検知されることなく、悪意のモデルのサーバへの導入を達成し、また、機密モデルの外部への持ち出しを可能にする。
Oligo のレポートは、「これらの脆弱性は Ollama を使用している組織にとって、攻撃対象領域を拡大するものである。モデル・エンドポイントを悪用する攻撃者は、モデルの破損や知的財産の窃取を可能にする。デフォルトでは、これらのエンドポイントは外部アクセスに対して開いた状態であり、モデルが継続的にダウンロードされ、ディスク・スペースが枯渇すると、サービス拒否 (DoS) 攻撃につながる可能性もある」と指摘している。
GitHub の Star が 94,000 を超える、人気のツール Ollama で発見された脆弱性が浮き彫りにするのは、ユーザーがパッチを適用し、セキュリティ設定を構成することに加えて、AI モデルのエンドポイントをインターネットに公開することの影響を理解する必要性である。
ChatGPT が登場して以来、さまざまな LLM 製品の脆弱性が報告されてきましたが、AI に固有のものというのは、少なかったと思えます。その意味で、今回の Ollama の脆弱性は、AI らしい脆弱性だと感じられます。今後は、このような問題が報告されるようになるのでしょう。よろしければ、カテゴリ AI/ML を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.