Hackers Exploit Ollama Model Uploads to Leak Server Data
2026/04/24 gbhackers — ローカル環境で LLM を実行するオープンソース・プラットフォーム Ollama の、量子化エンジン・モデルに存在する深刻な脆弱性 CVE-2026-5757 が、セキュリティ研究者により発見された。悪意を持って細工された AI モデル・ファイルをアップロードする攻撃者は、認証を必要とせず、サーバ上の機密データの窃取を可能にする。
エクスプロイトの仕組み
Ollama は量子化を使用するが、パフォーマンスと効率を向上させるために AI モデルの数値精度を調整している。
そのためのエンジンが、GPT-Generated Unified Format (GGUF) ファイルを処理する際に out-of-bounds メモリ破壊が発生することを、研究者たちが発見した。攻撃者が特別に細工した GGUF ファイルをアップロードし、サーバに対して量子化処理をトリガーすると、安全なメモリ範囲を超えた読み取りが可能になってしまう。
このエクスプロイトは、以下 3 つの要因の組み合わせにより成立する:
- ユーザーが提供するファイルのメタデータを、エンジンが検証することなく信頼するため、実際のデータサイズとの整合性に問題が生じる。
- このソフトウェアは、Go 言語の実装において “unsafe” メモリ操作を使用しているため、アプリケーション・ヒープ領域において巨大なデータ・スライスが生じる。
- システムにおける新規のモデル・レイヤーに漏洩したメモリが書き込まれ、Ollama のレジストリ API を通じて外部サーバへ送信される。
この脆弱性は、サーバのコアヒープ領域への不正アクセスを可能とするため、モデルをホストする組織にとって、きわめて深刻な影響が生じる。その結果として、処理中にメモリへ一時保存される高機密データが、攻撃者により抽出されてしまう。
この情報の露出により、API キー/ユーザーデータ/知的財産の窃取へ直結する可能性がある。
さらに攻撃者は、このアクセスを利用して、サーバ制御の拡大や基盤ネットワークへの侵害に加えて、ステルス性の高い永続化を確立する可能性がある。
この脆弱性は、AI 支援型の調査手法を用いる、セキュリティ研究者 Jeremy Brown により発見された。
2026年04月の下旬時点で CERT Coordination Center は、Ollama との連絡が取れておらず、公式パッチは未提供である。
対策
Ollama を運用する組織および開発者は、直ちに手動での防御対策を実施する必要がある。
リスク低減のため、以下を実施する:
- 公開サーバにおけるモデル・アップロード機能の、制限または無効化。
- すべての Ollama 展開を、ローカル/隔離環境/高信頼ネットワークに限定。
- 検証済みかつ信頼できるソースからのみの、AI モデルの取得および実行。
- 不正な外部接続およびデータ流出を防止するための、厳格なネットワーク検証制御の適用。
訳者後書:この問題の原因は、AI モデルのサイズを軽量化する量子化という処理の過程で、プログラムが読み込むデータの正確さを十分に確認していなかったことにあります。具体的には CVE-2026-5757 として識別されており、攻撃者が特別に細工したモデルファイルを読み込ませることで、本来アクセスしてはいけないサーバー内のメモリ領域を覗き見できる状況に陥ります。さらに、このプログラムの一部では、メモリを直接操作して安全性の確認を困難にする手法が使われているため、メモリに一時的に保存されていた API キーや機密データが、新しいモデルデータの一部として外部に漏れ出してしまう危険があります。ご利用のチームは、ご注意ください。よろしければ、Ollama での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.