كشف باحثون في مجال الأمن السيبراني عن ثغرة أمنية حرجة في Ollama، وهي منصة مفتوحة المصدر شائعة لتشغيل نماذج اللغة الكبيرة محليًا، والتي قد تسمح للمهاجم عن بعد بالوصول إلى ذاكرة العملية بأكملها. تم تعيين هذه الثغرة، التي تحمل المعرف CVE-2026-7482، إلى درجة خطورة 9.1 على مقياس CVSS.
تم إطلاق اسم “Bleeding Llama” على هذه الثغرة من قبل شركة Cyera للأبحاث الأمنية، وتشير التقديرات إلى أنها قد تؤثر على أكثر من 300 ألف خادم حول العالم. تسمح Ollama للمطورين بتشغيل نماذج الذكاء الاصطناعي على أجهزتهم الخاصة بدلاً من الاعتماد على الخدمات السحابية.
ثغرة Ollama الأمنية الخطيرة: تفاصيل ومعلومات
تتعلق الثغرة المكتشفة بعدم قدرة Ollama على قراءة الذاكرة بشكل صحيح في الإصدارات قبل 0.17.1. تحدث هذه المشكلة أثناء تحميل نماذج بصيغة GGUF، وهي صيغة مستخدمة لتخزين نماذج اللغة الكبيرة لسهولة تحميلها وتشغيلها. وبحسب موقع CVE.org، فإن نقطة النهاية /api/create تتلقى ملف GGUF معد خصيصًا، حيث تتجاوز أوفست (offset) وبيانات حجم الموتر (tensor) المعلنة الطول الفعلي للملف.
خلال عملية التحويل الكمي (quantization) في ملفات GGUF، تقرأ الملقمات بيانات تتجاوز مساحة الذاكرة المخصصة لها، مما يخلق ثغرة أمنية.
آلية عمل الثغرة وتأثيرها
تنشأ المشكلة الأساسية من استخدام Ollama للحزمة “unsafe” عند إنشاء نموذج من ملف GGUF. هذا الاستخدام يسمح بتجاوز ضمانات سلامة الذاكرة في لغة البرمجة، مما يفتح الباب أمام استغلال الثغرة.
في سيناريو هجوم افتراضي، يمكن لمهاجم إرسال ملف GGUF مصمم خصيصًا إلى خادم Ollama مكشوف. عند إنشاء النموذج عبر نقطة النهاية /api/create، يؤدي حجم الموتر الكبير والمحتمل أن يتجاوز حجم الملف الفعلي إلى قراءة خارج الحدود الذاكرة المستهدفة.
تسريب البيانات الحساسة
يمكن أن يؤدي استغلال ناجح لهذه الثغرة إلى تسريب بيانات حساسة من ذاكرة عملية Ollama. قد تتضمن هذه البيانات متغيرات البيئة، ومفاتيح الواجهة البرمجية للتطبيقات (API keys)، والمطالبات الخاصة بالنظام (system prompts)، بالإضافة إلى بيانات المحادثات للمستخدمين المتزامنين.
يمكن للمهاجم استخلاص هذه البيانات عن طريق تحميل النموذج الناتج عبر نقطة النهاية /api/push إلى سجل (registry) يتحكم فيه المهاجم. بهذه الطريقة، يمكن للمهاجم الحصول على معلومات قيمة حول المؤسسة وبياناتها السرية.
خطوات استغلال الثغرة
تتضمن عملية الاستغلال ثلاث خطوات رئيسية: أولاً، تحميل ملف GGUF معد خصيصاً إلى خادم Ollama عبر طلب HTTP POST. ثانيًا، استخدام نقطة النهاية /api/create لتفعيل عملية إنشاء النموذج، مما يؤدي إلى تشغيل ثغرة القراءة خارج الحدود. وأخيرًا، استخدام نقطة النهاية /api/push لاستخلاص البيانات من ذاكرة العملية وتقديمها إلى خادم خارجي.
“يمكن للمهاجم معرفة أي شيء تقريبًا عن المؤسسة من استدلالات الذكاء الاصطناعي الخاصة بكم — مفاتيح الواجهة البرمجية، الأكواد الاحتكارية، عقود العملاء، وغير ذلك الكثير،” كما أوضح دور عطية، باحث في شركة Cyera. “علاوة على ذلك، غالبًا ما يربط المهندسون Ollama بأدوات مثل Claude Code. في تلك الحالات، يكون التأثير أكبر — حيث تتدفق جميع مخرجات الأدوات إلى خادم Ollama، ويتم حفظها في الذاكرة، ومن المحتمل أن تنتهي في أيدي مهاجم.”
توصيات أمنية للمستخدمين
ينصح المستخدمون بتطبيق أحدث الإصلاحات الأمنية المتاحة. كما يُنصح بتقييد الوصول إلى الشبكة، ومراجعة المثيلات (instances) قيد التشغيل للتأكد من عدم تعرضها للإنترنت، وعزلها وتأمينها خلف جدار حماية. علاوة على ذلك، يُوصى بتطبيق وكيل مصادقة (authentication proxy) أو بوابة واجهة برمجة تطبيقات (API gateway) أمام جميع مثيلات Ollama، نظرًا لعدم توفير واجهة برمجة التطبيقات REST للمصادقة بشكل افتراضي.
ثغرات إضافية في Ollama لنظام ويندوز
بالإضافة إلى الثغرة المذكورة، كشف باحثون في شركة Striga عن ثغرتين أخريين في آلية تحديث Ollama لنظام ويندوز. يمكن استغلال هاتين الثغرتين بشكل متسلسل لتنفيذ تعليمات برمجية بشكل مستمر. لم يتم إصلاح هذه الثغرات بعد الكشف عنها في 27 يناير 2026، وتم نشر التفاصيل بعد انقضاء فترة الإفصاح البالغة 90 يومًا.
تتعلق الثغرات بـ “اجتياز المسار” (path traversal) وعدم وجود فحص للتوقيع الرقمي، مما يسمح للمهاجم الذي لديه القدرة على التأثير في استجابات التحديث بتنفيذ تعليمات برمجية عشوائية في كل مرة يتم فيها تسجيل الدخول. تم تحديد هذه الثغرات تحت المعرفين CVE-2026-42248 و CVE-2026-42249، وكلاهما بدرجة خطورة 7.7.
يجب على المستخدمين الذين يستخدمون Ollama على نظام ويندوز اتخاذ إجراءات فورية. يُنصح بتعطيل التحديثات التلقائية وإزالة أي اختصار لـ Ollama من مجلد بدء التشغيل (Startup folder) لمنع التنفيذ الصامت عند تسجيل الدخول. هذا الإجراء سيكفل حماية أفضل ضد محاولات الاستغلال المحتملة.