SchwachstellenMalwareCyberkriminalität

Ollama: Kritische Sicherheitslücken gefährden KI-Modelle weltweit

Von CyberDeutsch Redaktion
Ollama: Kritische Sicherheitslücken gefährden KI-Modelle weltweit
Zusammenfassung

Die beliebte Open-Source-Plattform Ollama, die es Nutzern ermöglicht, große Sprachmodelle lokal zu betreiben, ist Ziel mehrerer kritischer Sicherheitslücken geworden. Die schwerwiegendste Schwachstelle ist eine Out-of-Bounds-Read-Vulnerabilität (CVE-2026-7482) mit dem Codenamen „Bleeding Llama", die es unauthentifizierten Angreifern ermöglicht, den gesamten Arbeitsspeicher des Ollama-Prozesses auszulesen. Betroffen sind über 300.000 Server weltweit. Das Projekt mit mehr als 171.000 GitHub-Stars wird häufig von Unternehmen und Entwicklern eingesetzt, um KI-Modelle ohne Cloud-Abhängigkeit zu nutzen. Ein erfolgreicher Angriff könnte sensible Daten wie API-Schlüssel, Umgebungsvariablen, Systemaufforderungen und Gesprächsdaten von Nutzern offenlegen. Zusätzlich wurden zwei weitere kritische Sicherheitslücken in der Windows-Version entdeckt, die zu persistenter Code-Ausführung beim Systemstart führen können. Für deutsche Unternehmen und Behörden, die Ollama zur lokalen KI-Verarbeitung einsetzen, stellt dies ein erhebliches Risiko dar – insbesondere wenn Instanzen ohne ausreichende Netzwerk-Isolation betrieben werden. Ein umgehendes Update auf Version 0.17.1 oder neuer und die Implementierung von Sicherheitsmaßnahmen wie Firewalls und API-Gateways sind dringend erforderlich.

Die Sicherheitsmängel in Ollama zeigen exemplarisch die Risiken, die mit lokal ausgeführten KI-Modellen einhergehen, wenn diese nicht angemessen geschützt sind. Die primäre Schwachstelle, “Bleeding Llama” genannt, liegt in der GGUF-Modelllader-Komponente vor Version 0.17.1. Das Problem entsteht durch unsichere Speicherzugriffe beim Verarbeiten von GGUF-Dateien – einem weit verbreiteten Format zur Speicherung von Sprachmodellen.

Bei erfolgreicher Ausnutzung kann ein Angreifer eine manipulierte GGUF-Datei an den /api/create-Endpunkt senden und dabei die Tensor-Dimensionen so setzen, dass sie die tatsächliche Dateigröße übersteigen. Während der Quantisierung liest der Server dann über die Grenzen des zugewiesenen Heap-Speichers hinaus – und exponiert damit sensible Daten, die im Arbeitsspeicher liegen. Der Sicherheitsforscher Dor Attias von Cyera warnt: “Angreifer können über die KI-Inferenz praktisch alles über eine Organisation lernen – von API-Schlüsseln bis zu proprietärem Code und Kundenverträgen.”

Besonders besorgniserregend ist die Verbindung zu externen KI-Tools: Wenn Ollama beispielsweise mit Claude Code integriert ist, landen auch alle Ausgaben dieser Tools im Heap und können exfiltriert werden. Die Datenabzweigung erfolgt über den /api/push-Endpunkt zu einer angreifer-kontrollierten Registry.

Parallel hierzu wurden zwei weitere kritische Lücken in Ollamasm Windows-Update-Mechanismus aufdeckt. Diese ermöglichen persistente Code-Ausführung: Ein fehlender Signaturcheck kombiniert mit einer Pfadverlauf-Schwachstelle erlaubt es Angreifern, beliebige Executable in den Windows-Startordner zu schreiben. Betroffen sind Versionen 0.12.10 bis 0.22.0. Beim nächsten Login wird der manipulierte Code automatisch ausgeführt – mit den Rechten des aktuellen Nutzers.

Für die Remediierung empfiehlt das BSI-äquivalent CERT Polska: Sofortiges Update auf die neuesten Patches, strikte Netzwerk-Segmentierung, Deaktivierung automatischer Updates unter Windows und das Entfernen von Ollama-Shortcuts aus dem Startordner. Alternativ sollten alle Ollama-Instanzen hinter einem Authentication-Proxy oder API-Gateway platziert werden, da die REST-API standardmäßig keine Authentifizierung bietet.

Ähnliche Artikel