「云安全技术观察」栏目聚焦云计算时代的安全技术前沿与实践探索。从AI大模型时代的新风险观察,到大模型加持的安全产品力升级,从云原生架构的安全体系建设到安全攻防的激烈对抗...这里既有对前沿技术的探索,也有安全建设的实战经验复盘,为您提供落地的技术参考和前瞻性洞察。
无论安全如何演进,技术领先性永远是我们不变的追求。
前言
大型语言模型(LLM)正逐渐成为推动创新的核心动力,它们正在改变我们处理从客户服务到内容创作、再到复杂数据分析等各类任务的方式。随着这些模型变得越来越强大和普及,企业和个人对于在其工作流程中集成LLM的需求也日益增长。
正是在这种背景下,Ollama等开源大模型部署工具应运而生。它们旨在简化这一过程,使得即使不具备深厚技术背景的用户也能轻松地运行先进的AI模型。但值得注意的是,尽管这类工具极大地降低了部署门槛,它们也可能带来新的安全挑战。接下来,本文将围绕Ollama漏洞进行深入研发,从而有效地管理和减轻相关风险,打造一个既高效又安全的AI环境。
Ollama漏洞详解
- 全球现状
通过网络空间安全测绘平台可以看到,截止2025年7月,全球仍然有25万个独立IP跟Ollama有关联,其中美国和中国分别占据前二的规模。由此可以看出自建LLM的情况仍然不少,并且扫描的端口中11434(未授权访问漏洞关联的端口)比例依然很高。
- 漏洞概述
Ollama作为一款开源跨平台大语言模型(LLM)运行框架,因其轻量级设计、简化部署和跨平台支持(Windows、Linux、macOS)的特性,已成为DeepSeek等大模型部署的首选工具之一。该工具支持超过1700种模型的部署与管理,在AI研究和应用领域获得了广泛采用。然而,2025年3月,国家网络安全通报中心发布了关于开源大模型工具Ollama的安全风险通报,其中最新的高危风险漏洞,漏洞编号:CNVD-2025-04094,其默认配置存在未授权访问隐患,导致未经授权的攻击者可在远程条件下调用Ollama服务接口,执行包括但不限于敏感模型资产窃取、虚假信息投喂、模型计算资源滥用和拒绝服务、系统配置篡改和扩大利用等恶意操作。
- 漏洞分析
通过阿里云安全团队的AVD漏洞情报库,可以看到除了Ollama以外,AI组件相关的漏洞都不在少数。
Ollama 相关漏洞
LocalAI 相关漏洞
DIFY 相关漏洞
VLLM 相关漏洞
通过对相关的漏洞情况分析,可以梳理发现相关的漏洞大致可以归为以下三种类型:
1.未授权访问漏洞
默认开放端口与零鉴权机制:Ollama安装后自动在本地启动Web服务,默认监听11434端口且未实施任何身份验证措施。当管理员未主动修改配置或通过防火墙限制访问时,该端口会直接暴露于公网,允许任何匿名用户通过 http://[服务器IP]:11434地址访问API服务。这种零鉴权设计违反了基本的安全最小化原则,使攻击者能够无需凭证即获得完整API控制权。
高危接口面临未授权调用风险:Ollama提供的多个关键API接口在未授权情况下可被任意调用,造成严重后果:
/api/generate:攻击者可恶意消耗GPU资源,发起拒绝服务攻击或滥用算力进行加密货币挖矿,导致服务瘫痪及云费用激增。
/api/show:可获取模型license及参数信息,暴露知识产权和训练数据细节。
/api/push:允许攻击者将私有模型完整导出至远程服务器,造成核心AI资产直接窃取。
/api/delete:可恶意删除模型文件,导致业务中断和数据永久丢失。
2.历史漏洞叠加利用风险
除设计缺陷外,Ollama先前版本存在多个高危漏洞,可与未授权访问漏洞形成链式攻击,极大提升风险等级:
Ollama历史高危漏洞说明
这些历史漏洞在未升级的环境中仍广泛存在,攻击者可组合利用未授权访问与上述漏洞,从简单的信息泄露升级为系统完全控制。例如,利用CVE-2024-37032路径遍历漏洞,攻击者可在未授权状态下上传恶意文件覆盖系统关键组件,进而获取服务器根权限,并以此为跳板入侵内网其他系统。
数据泄漏风险
模型资产窃取:通过/api/show和/api/pull等接口,攻击者能够完整获取模型结构、参数及训练元数据。对于企业而言,这意味着投入大量资源训练的私有模型可被轻易窃取,造成知识产权重大损失。一个中等规模的7B参数模型可在30分钟内通过100Mbps网络被完整导出,如果模型是部署在ECS上,可能还会产生大额的流量账单。
数据投毒与参数污染:攻击者可向/api/train接口 注入恶意训练数据,或通过多次恶意请求篡改模型行为,破坏模型服务的功能完整性与输出可靠性。这种隐蔽攻击可能导致长期安全威胁,如模型在处理特定输入时输出错误或有毒内容。
Ollama系统加固全攻略
01.Ollama原生加固方案
网络层防护策略
强制访问范围最小化:
对仅需本地访问的服务,设置环境变量强制绑定本地回环地址:
此配置确保服务不暴露于外部网络,彻底消除远程攻击面。配置后需验证端口状态:
防火墙策略强化:
对必须开放公网访问的场景,实施严格的双向端口过滤:
配置入站规则:仅允许可信IP段访问11434端口(例如 192.168.1.0/24)
配置出站规则:阻止Ollama服务发起非必要外连,防止数据外泄
非标准端口迁移:
将默认11434端口改为高端动态端口(如49723以上),减少自动化扫描风险:
应用层防护策略
身份认证与访问控制:
基础认证:通过Nginx反向代理部署Basic Auth认证,生成密码文件并限制IP:
配置Nginx:
此配置实现账号密码+IP白名单双重防护。
传输层加密(TLS):
使用Let's Encrypt或者阿里云提供的免费SSL证书,强制HTTPS访问:
配置HTTP自动跳转HTTPS,确保数据全程加密。
危险接口禁用:
修改Ollama配置文件(config.yaml),禁用高风险接口:
对必须保留的/api/generate接口,实施请求速率限制(如每分钟10次/IP),防范DDoS攻击。
数据运行层策略
模型来源审核:
仅从官方仓库拉取模型,避免使用未经验证的第三方模型:
配置模型哈希校验,确保完整性。
安全更新与补丁管理:
立即升级至0.1.34及以上版本,修复已知漏洞:
容器化隔离部署:
使用Docker运行Ollama,限制资源访问权限:
此配置启用最小权限原则,防止权限逃逸。
持续监测与响应策略
日志审计与分析:
启用Ollama详细日志(log-level=debug),使用日志工具(如 SLS、ES 等)集中收集分析。
重点关注:
- 异常IP的频繁认证失败
高频率的/api/generate调用
非常规时段的模型下载请求
配置实时告警规则,如单IP每分钟超过20次请求即触发警报。
最小权限模型访问控制:
开发环境:仅开放/api/generate接口
训练环境:限制/api/train仅授权数据工程师
生产环境:禁用所有修改接口(push/delete/pull)
02.阿里云安全加固方案
上述的原生加固方案涉及到大量的配置和运维工作,同时负责安全的部门可能很难深入到模型部署的整个环节进行如此之多的精细化配置,因此“外挂、旁路”方式的安全可能是更符合现状且相对可落地的方案,阿里云安全团队对应的提供了三款对应的产品。
云安全中心:AI-BOM、AI-SPM
AI-BOM
云安全中心可以自动并持续发现阿里云以下服务中部署的AI应用:
云服务器ECS:实例、镜像、快照。
人工智能平台PAI:通过PAI平台创建的容器镜像及实例,例如交互式建模的DSW实例、模型在线服务实例等。
智能计算灵骏。
实现 AI 相关组件的资产扫描、漏洞发现,在模型运行部署完但发布前进行相关的加固。
AI-SPM
云安全中心提供针对AI资产的安全配置风险自动化检测能力,依托阿里云AI安全实践,覆盖人工智能平台PAI的AI应用组件的关键安全配置项检测,包括以下方面:
权限管理:执行最小权限原则审计。
访问控制:检测公网暴露风险及白名单配置。
服务配置:验证敏感操作保护机制。
通过云安全中心实现了针对 AI 组件在事前的安全加固。
WAF+云防火墙:AI流量防护
1.WAF提示词攻击
对于自建AI后计划将服务对外开放的场景来说,外部输入的内容中可能存在各式各样的入向风险,WAF支持一键开启AI应用防护功能,针对所有经过WAF访问AI对外服务接口的流量进行过滤,精准识别越狱指令、角色扮演诱导、系统指令篡改等对抗性攻击行为。
2.云防火墙CFW-AI流量识别
对于MCP服务场景,或云上Dify组件调用外部第三方AI接口的情况,云防火墙提供可视化、外联服务和资产等多角度分析主动外联AI服务的流量监控和分析管控能力,帮助用户及时发现企业访问三方AI服务异常流量和防范安全风险。同时云防火墙完全由安全团队掌控的访问控制策略,能够实现对端口、IP、域名等维度的精准管控,哪怕不在Ollama配置中配置网络层防护策略,也能达到隔离的效果。
通过WAF和云墙两个组件,对云上自建AI环境的出向、入向流量做到了事中的精准管控。
从网络到应用,从数据到审计,从检测到响应已经都有完整的方案和措施了,将防护措施总结如下:
随着大模型在关键领域的深入应用,安全必须成为部署的先决条件而非事后补救。本报告提供的加固方案不仅适用于Ollama,其核心逻辑和原理也可扩展至同类AI场景的防护,希望本篇文章能够让大家对自建AI场景下的安全风险和加固措施如有一定的了解。
目前阿里云针对自建AI的整套安全方案已经在多家公司完成了落地。
