一句话结论开源本地大模型推理引擎 Ollama 爆出一个严重漏洞攻击者无需任何凭证就能远程窃取敏感数据——如果你在生产环境跑了 Ollama现在就得检查一下。上个月安全公司 Cyera 发了一份报告他们发现 Ollama 的默认配置存在一个不需要身份验证的严重漏洞影响大约 30 万个公开暴露的部署实例。我看完报告第一反应就是卧槽这不就是开着门等人进来偷东西吗事情是这样的Ollama 这个工具做本地大模型部署的应该都知道。Llama、Qwen、Mistral 这些开源模型往自己机器上一键跑起来就是靠的它。安装简单API 接口友好这几年在开发者圈子里火得不行。但问题就出在这里——默认安装完没有任何认证机制。API 直接暴露在网络上谁访问都能用。这意味着什么意味着你跑的那个 7B 模型、那堆上传的文档上下文、那套给公司用的知识库 prompt——理论上任何人都能读到。Cyera 发现的就是这个。漏洞编号 CVE-2024-37032具体技术细节是路径遍历path traversal加上 API 设计上的缺陷组合起来可以让攻击者读取服务器上的任意文件。你以为本地部署就安全攻击者连你服务器的文件系统都能扫一遍。30 万这个数字怎么来的Shodan 和类似搜索引擎扫到的公开暴露实例数。当然实际部署量肯定比这个大因为很多是企业内网机器不暴露在公网。影响的范围有多大让我直接说结论只要你把 Ollama 的 API 端口默认 11434暴露到了公网或者不可信网络就必须当回事。具体影响几类场景内网有多人共用一台 Ollama 服务器的理论上 A 用户能看到 B 用户的请求数据和返回结果。这在内网渗透场景里是个不小的口子。把 Ollama 作为 RAG检索增强生成知识库后端的公司那些用来构建知识库的文档——合同、代码、内部资料——攻击者一个 API 请求就能拉走。更骚的是如果你的 Ollama 实例跟其他内部服务有网络互信关系这个漏洞可以作为内网横移的跳板。还有个值得关注的点这个漏洞影响的是 Ollama 本身跟跑什么模型无关。你跑的是 Llama 3.1 还是 Qwen2.5都一样。怎么知道自己有没有中招简单去 Shodan 搜一下port:11434或者让安全团队扫一下内网。如果你的 11434 端口对非可信来源开放了那就需要修复。还有个更直接的方法——在命令行跑curl http://your-ollama-server:11434/api/version能返回版本信息就说明 API 可访问。再试试curl http://your-ollama-server:11434/api/tags能列出模型列表那基本就是裸奔状态。怎么修目前 Ollama 官方还没推出带修复的正式版本但有几个临时方案可以用方案一网络层隔离推荐临时解法在 Ollama 服务前面加一层认证或者直接用防火墙限制 11434 端口的访问来源。只允许必要的 IP 访问把公网访问彻底关掉。# 用 iptables 限制来源 iptables -A INPUT -p tcp --dport 11434 -s 10.0.0.0/8 -j ACCEPT iptables -A INPUT -p tcp --dport 11434 -j DROP方案二Ollama 官方在推进的认证功能需要用环境变量开启有点像 Docker 的认证机制OLLAMA_ADMIN_CREDENTIALSuser:strongpassword然后 API 请求需要带认证头。这功能还没完全成熟但可以先配上。方案三反向代理 认证用 Nginx 或者 Cloudflare Tunnel 之类的工具在 Ollama 前面套一层认证层。生产环境推荐这个做法能做的事情更多——限流、日志、IP 白名单一站搞定。location / { proxy_pass http://127.0.0.1:11434; proxy_set_header Host $host; auth_basic Restricted; auth_basic_user_file /etc/nginx/.htpasswd; }方案四彻底不暴露公网如果你只是自己本地开发用或者团队都在同一个内网最简单的办法就是不让 11434 端口离开你的网络。Ollama 默认只监听 localhost这个配置其实挺安全的改成监听公网之前先想清楚是不是真的必要。这件事反映的问题安全公司 Cyera 把这个漏洞定性为敏感信息失窃风险我认为这个判断是准确的但还不够让人警觉。本地大模型部署这几年爆发式增长大家的关注点基本都在怎么跑起来怎么调性能上安全这环一直是事后补的。Ollama 官方也说未来版本会把认证做成默认开启——但现在默认是关着的。类比一下这就像 MongoDB 当年的默认无认证问题。数据库默认无认证被扫端口扫出来企业数据泄露一模一样的剧本又在 AI 推理引擎上重演了。有意思的是很多开发者觉得本地部署就等于安全这个认知本身就是危险的。只要你的服务暴露在网络上就不存在只有我能访问这种假设。我的判断如果你现在正在用 Ollama 并且 API 对外暴露今天就得处理。这轮漏洞没有特别高的技术门槛利用要求一旦有人开始写 poc概念验证代码30 万个实例就是30 万个靶子。处理优先级公网暴露的实例优先加网络层隔离今天就做内网实例加认证能快则快别拖到下周关注 Ollama 官方 GitHub 的安全更新有正式补丁第一时间升级检查有没有其他 AI 推理引擎存在类似问题——LM Studio、LocalAI 这些也可以查一下