Ollama hiện đang là một trong những nền tảng mã nguồn mở phổ biến nhất (với hơn 171.000 sao trên GitHub) giúp các nhà phát triển chạy các mô hình ngôn ngữ lớn (LLMs) ngay trên máy tính cá nhân thay vì đám mây. Tuy nhiên, sự phổ biến này đi kèm với rủi ro lớn. Các nhà nghiên cứu an ninh mạng vừa công bố các lỗ hổng nghiêm trọng trên Ollama, có thể cho phép tin tặc đánh cắp toàn bộ dữ liệu trong bộ nhớ hoặc thậm chí thực thi mã độc trên máy tính của nạn nhân.

Dưới đây là chi tiết về các lỗ hổng bạn cần đặc biệt lưu tâm.

1. "Bleeding Llama" – Lỗ hổng rò rỉ bộ nhớ nghiêm trọng (CVE-2026-7482)

Được phát hiện bởi công ty bảo mật Cyera và đặt biệt danh là "Bleeding Llama", lỗ hổng đọc ngoài giới hạn bộ nhớ (out-of-bounds read) này được đánh giá điểm CVSS lên tới 9.1/10. Ước tính có hơn 300.000 máy chủ trên toàn cầu có thể đang bị ảnh hưởng.

Nguyên nhân do đâu?

Vấn đề bắt nguồn từ việc Ollama sử dụng gói thư viện unsafe của ngôn ngữ Go khi xử lý định dạng file GGUF – một định dạng file dùng để lưu trữ và chạy mô hình AI cục bộ.

Kịch bản tấn công:

  1. Kẻ tấn công gửi một file GGUF được thiết kế tinh vi (với thông số tensor bị thổi phồng) đến máy chủ Ollama đang mở kết nối mạng.

  2. Thông qua endpoint /api/create, quá trình tạo mô hình sẽ kích hoạt lỗi đọc ngoài giới hạn vùng nhớ heap.

  3. Kẻ tấn công sau đó có thể dùng endpoint /api/push để gửi toàn bộ dữ liệu đọc được ra một máy chủ bên ngoài.

Hậu quả: Tin tặc có thể đánh cắp hầu như mọi thứ từ quá trình suy luận AI của tổ chức bạn, bao gồm: khóa API, mã nguồn nội bộ, dữ liệu trò chuyện của người dùng, hoặc các biến môi trường nhạy cảm.

2. Hai lỗ hổng nguy hiểm (chưa có bản vá) trên Windows

Bên cạnh "Bleeding Llama", các nhà nghiên cứu từ Striga cũng tiết lộ hai lỗ hổng trong cơ chế cập nhật tự động của ứng dụng Ollama trên hệ điều hành Windows. Mặc dù đã được báo cáo từ tháng 1/2026, các lỗ hổng này hiện vẫn chưa được vá.

  • CVE-2026-42248 (CVSS 7.7): Lỗ hổng thiếu kiểm tra chữ ký số. Ứng dụng tải bản cập nhật về nhưng không hề xác minh xem file đó có chính chủ hay không.

  • CVE-2026-42249 (CVSS 7.7): Lỗ hổng Path Traversal (vượt quyền truy cập thư mục). Trình cập nhật tạo đường dẫn lưu file trực tiếp từ HTTP header mà không hề qua bộ lọc an toàn.

Cách tin tặc khai thác:

Nếu tin tặc có thể can thiệp vào máy chủ cập nhật (ví dụ: thay đổi biến OLLAMA_UPDATE_URL), chúng có thể đẩy một file thực thi mã độc dưới vỏ bọc là bản cập nhật. Kết hợp hai lỗ hổng trên, file mã độc này sẽ được chèn thẳng vào thư mục Startup của Windows.

Kết quả là mỗi khi người dùng khởi động máy tính, mã độc sẽ tự động chạy ngầm với đặc quyền của người dùng hiện tại. Kẻ tấn công có thể cài cắm phần mềm tống tiền, trojan đánh cắp thông tin trình duyệt hoặc lấy cắp khóa SSH. (Phiên bản ảnh hưởng: Ollama cho Windows từ 0.12.10 đến 0.22.0).

Bạn Cần Làm Gì Để Tự Bảo Vệ Mình?

Nếu bạn hoặc tổ chức của bạn đang sử dụng Ollama, hãy thực hiện ngay các biện pháp sau:

  1. Cập nhật phiên bản mới nhất: Hãy nâng cấp Ollama qua phiên bản 0.17.1 ngay lập tức để vá lỗ hổng Bleeding Llama.

  2. Giới hạn quyền truy cập mạng: Đừng bao giờ phơi bày (expose) trực tiếp máy chủ Ollama ra internet. Hãy đặt nó sau tường lửa (firewall).

  3. Sử dụng cơ chế xác thực: Vì API mặc định của Ollama không có chức năng xác thực (authentication), bạn bắt buộc phải thiết lập một API Gateway hoặc Proxy có xác thực để kiểm soát ai được quyền gửi yêu cầu đến máy chủ.

  4. Đối với người dùng Windows: Do lỗi cập nhật vẫn chưa được vá, chuyên gia khuyến cáo bạn nên tắt tính năng tự động cập nhậtxóa shortcut của Ollama khỏi thư mục Startup (%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup) để chặn đường lây nhiễm khi khởi động máy.

Công nghệ AI mang lại sức mạnh to lớn, nhưng việc triển khai AI cục bộ (Local AI) không đồng nghĩa với việc nó "tự động an toàn". Hãy luôn chủ động theo dõi và cập nhật các biện pháp bảo mật cho hệ thống của mình!

Theo: The Hacker News