สรุปสั้น
นักวิจัยจาก Cyera เปิดเผยช่องโหว่ร้ายแรงใน Ollama เฟรมเวิร์กยอดนิยมสำหรับรัน Large Language Models (LLMs) ในเครื่อง ช่องโหว่ CVE-2026-7482 มีคะแนน CVSS 9.1 ระดับ Critical ได้รับชื่อรหัส Bleeding Llama เป็นปัญหา out-of-bounds read ในตัวโหลดไฟล์ GGUF ที่ทำให้ผู้โจมตีอ่าน process memory ของเซิร์ฟเวอร์ได้ คาดว่ากระทบเซิร์ฟเวอร์ Ollama กว่า 300,000 เครื่องทั่วโลกที่เปิดให้เข้าถึงจากอินเทอร์เน็ต ข้อมูลที่อาจรั่วไหลรวมถึง API keys, environment variables, system prompts และบทสนทนาของผู้ใช้ที่กำลังใช้งานอยู่ แพตช์แก้ไขแล้วใน Ollama เวอร์ชัน 0.17.1
รายละเอียดข่าว
Ollama เป็นเครื่องมือ open-source ที่ได้รับความนิยมอย่างมากในหมู่ developer และองค์กรที่ต้องการรัน LLMs เช่น Llama, Mistral, Gemma ในเครื่องของตนเองโดยไม่ต้องพึ่ง cloud API ปัจจุบันมีเซิร์ฟเวอร์ Ollama กว่า 300,000 เครื่องที่เปิดเข้าถึงได้จากอินเทอร์เน็ตโดยตรง หลายเครื่องไม่มี authentication ป้องกัน นักวิจัยจากบริษัท Cyera ค้นพบว่าช่องโหว่นี้สามารถถูกโจมตีจากระยะไกลโดยไม่ต้อง login การโจมตีทั้งหมดใช้เพียง 3 API calls ที่ไม่ต้องยืนยันตัวตน ทำให้เป็นช่องโหว่ที่ใช้งานง่ายมาก ชื่อ Bleeding Llama ตั้งตามลักษณะที่คล้ายกับ Heartbleed ที่อ่านข้อมูลจาก memory ของ process ได้ ข้อมูลที่รั่วไหลอาจรวมถึงความลับขององค์กรที่ถูกใส่ไว้ใน system prompt หรือ environment variables Cyera ทำงานร่วมกับทีม Ollama ในการแก้ไขก่อนเปิดเผยสาธารณะ
รายละเอียดช่องโหว่
ช่องโหว่อยู่ใน GGUF model loader ของ Ollama ซึ่งเป็นส่วนที่โหลดไฟล์โมเดล AI:
- ผู้โจมตีส่งไฟล์ GGUF ที่ถูกดัดแปลงโดยระบุ tensor offset และ size ที่ใหญ่กว่าขนาดไฟล์จริง
- เมื่อ Ollama ประมวลผลไฟล์ ระบบจะอ่านข้อมูลเลยขอบเขตของ heap buffer (out-of-bounds read)
- ข้อมูลที่อ่านได้คือ memory ของ process ที่อาจมีข้อมูลสำคัญ
- ผู้โจมตีใช้
/api/pushendpoint เพื่อดึงข้อมูลที่อ่านได้ออกมา
ขั้นตอนโจมตี 3 steps:
- สร้างไฟล์ GGUF อันตรายที่มี tensor shape ขนาดใหญ่มาก
- อัปโหลดไฟล์ไปยังเซิร์ฟเวอร์ Ollama ผ่าน API
- ใช้
/api/pushดึง model artifact ที่มีข้อมูล memory ติดมาออกมา
ผลกระทบต่อไทย
Ollama เป็นเครื่องมือที่ได้รับความนิยมมากในหมู่ developer ไทยและบริษัท tech ในประเทศที่ต้องการรัน AI models แบบ on-premise เพื่อความเป็นส่วนตัวของข้อมูล หลายบริษัทใช้ Ollama เป็น backend สำหรับ chatbot ภายในหรือเครื่องมือช่วยเขียนโค้ด
ปัญหาคือหลายเครื่องถูกเปิดให้เข้าถึงจากอินเทอร์เน็ตโดยไม่มี authentication ทำให้ถ้ายังไม่อัปเดตอาจถูกขโมย API keys ของบริการ AI หรือข้อมูลภายใน process
คำแนะนำ
- อัปเดต Ollama เป็นเวอร์ชันที่แพตช์ CVE-2026-22768 แล้วทันที
- ไม่เปิด Ollama API สู่อินเทอร์เน็ตโดยตรง — ใช้ reverse proxy พร้อม authentication
- จำกัดสิทธิ์
/api/pushและ endpoints ที่เกี่ยวข้องกับ model upload - ตรวจสอบ logs สำหรับการอัปโหลด GGUF ที่ผิดปกติ
