网络安全研究人员最近详细介绍了一个影响 Ollama 开源人工智能 (AI) 平台的重大安全漏洞,该漏洞现已修补。这个漏洞编号为 CVE-2024-37032,被称为 Probllama。如果不加以修补,它可能被恶意攻击者利用,导致远程代码执行。
Ollama 是一个在 Windows、Linux 和 macOS 设备上本地打包、部署和运行大型语言模型 (LLM) 的服务。它广泛用于各种 AI 应用,是许多开发者和企业依赖的基础设施平台。
漏洞的详细信息
- 漏洞编号:CVE-2024-37032
- 修补时间:2024 年 5 月 7 日发布的 0.1.34 版本中解决
- 漏洞类型:路径遍历缺陷,导致远程代码执行
漏洞是如何工作的?
这个漏洞本质上是由于输入验证不足,导致路径遍历缺陷。攻击者可以利用这个漏洞覆盖服务器上的任意文件,并最终实现远程代码执行。利用此漏洞的方法如下:
- 特制的 HTTP 请求:攻击者需要向 Ollama API 服务器发送特制的 HTTP 请求。
- 恶意模型清单文件:利用 API 端点“/api/pull”上传包含恶意路径遍历负载的模型清单文件。
- 覆盖关键文件:可以覆盖服务器上的关键文件,比如动态链接器配置文件(“/etc/ld.so.preload”),从而加载恶意共享库,在每次执行程序前启动恶意代码。
虽然默认情况下,Ollama 的 API 服务器绑定到 localhost,降低了远程代码执行的风险,但对于公开暴露的 API 服务器的 Docker 部署来说,风险依然存在。尤其是那些没有配置身份验证的服务器,攻击者可以轻松利用这个漏洞。
安全研究员 Sagi Tzadik 强调:“该问题在 Docker 安装中极其严重,因为服务器以‘root’权限运行并默认监听‘0.0.0.0’,这使得该漏洞可以远程利用。”
如何保护您的系统?
- 立即更新 Ollama:确保您的 Ollama 版本更新到 0.1.34 或更高版本,以包含最新的安全修补。
- 使用身份验证:配置带有身份验证的反向代理等中间件来保护 API 服务器,防止未授权访问。
- 定期检查暴露实例:检查并确保您的 Ollama 实例没有暴露在公共网络中。
- 使用非 root 用户运行服务:尽量避免使用 root 权限运行服务,以减少风险。
AI 安全的更大挑战
不仅仅是 Ollama,AI 安全公司 Protect AI 警告称,各种开源 AI/ML 工具存在 60 多个安全缺陷,包括可能导致信息泄露、权限提升和系统接管的严重问题。其中,最严重的是 CVE-2024-22476,这是英特尔神经压缩器软件中的一个 SQL 注入漏洞,CVSS 评分高达 10.0。这些问题提醒我们,尽管 AI 技术日新月异,但安全挑战仍然存在。
