В Ollama, популярном программном обеспечении для локального искусственного интеллекта, обнаружена уязвимость безопасности. Эта уязвимость, классифицированная как чтение за пределами границ, позволяет удаленному злоумышленнику получить несанкционированный доступ к областям памяти процесса. Это приводит к раскрытию конфиденциальных данных, таких как ключи, токены или информация о пользователях, причем без необходимости физического доступа к системе.
Технические детали уязвимости 🔍
Уязвимость использует ошибку в обработке входящих запросов, когда программное обеспечение некорректно проверяет границы чтения в буферах памяти. Злоумышленник может отправлять вредоносные запросы, предназначенные для принуждения процесса к возврату содержимого из нераспределенных адресов памяти. Это включает фрагменты данных других приложений или самой операционной системы. Удаленная эксплуатация повышает риск, так как любой, имеющий доступ к сети, где работает Ollama, может попытаться совершить атаку без предварительных учетных данных.
Ollama: помощник, который делится даже вашими секретами 😅
Потому что, видимо, иметь локальный ИИ было недостаточно захватывающе. Теперь оказывается, что Ollama не только обрабатывает ваши вопросы, но и устраивает вам экскурсию по своей внутренней памяти без вашего запроса. Это как иметь друга, который вместо того, чтобы хранить секреты, выкрикивает их на публике. Следующим шагом будет то, что ИИ начнет рекомендовать рестораны на основе банковских данных, которые он случайно раскрыл. Всё очень полезно, честно говоря.