在Ollama(流行的本地人工智能软件)中发现了一个安全漏洞。该漏洞被归类为越界读取,允许远程攻击者在未经授权的情况下访问进程的内存区域。这会暴露敏感数据,如密钥、令牌或用户信息,且无需对系统进行物理访问。
安全漏洞的技术细节 🔍
该漏洞利用了传入请求处理中的错误,软件未能正确验证内存缓冲区的读取边界。攻击者可以发送精心设计的恶意请求,迫使进程返回未分配内存地址的内容。这包括来自其他应用程序或操作系统本身的数据片段。远程利用增加了风险,因为任何能够访问Ollama运行网络的人都可以在没有先前凭证的情况下尝试攻击。
Ollama,那个连你的秘密都分享的助手 😅
因为显然,拥有一个本地AI还不够刺激。现在,Ollama不仅处理你的问题,还会在你没有要求的情况下,带你游览它的内部内存。这就像有一个朋友,不是保守秘密,而是在公共场合大声说出来。接下来,AI可能会根据它无意中泄露的银行数据推荐餐厅。真是非常实用,说实话。