- 19,960
- 44
- 8 Ноя 2022
Брешь в Ollama позволяет читать ваши чаты с ИИ и подсовывать "отравленные" модели.
Уязвимость в популярном инструменте для запуска ИИ-моделей Ollama открывала путь для «drive-by» атак , позволяя злоумышленникам через специально подготовленный сайт незаметно вмешиваться в работу локального приложения, читать личные переписки и даже подменять используемые модели, включая загрузку заражённых версий.
Недочёт в безопасности обнаружил и раскрыл 31 июля старший менеджер по безопасности GitLab Крис Моберли. Уязвимость затрагивала Ollama Desktop v0.10.0 и была связана с некорректной реализацией CORS -контролей в локальном веб-сервисе, отвечающем за работу графического интерфейса. В результате JavaScript на вредоносной странице мог сканировать диапазон портов на компьютере жертвы (от 40000 до 65535), находить случайный порт, используемый GUI Ollama, и отправлять поддельный «простой» POST-запрос , изменяя настройки и перенаправляя трафик на сервер атакующего.
После подмены конфигурации злоумышленник получал возможность перехватывать все локальные запросы, читать переписку и модифицировать ответы ИИ в реальном времени. Пользователь при этом видел обычный сайт, а атака происходила без каких-либо кликов или действий с его стороны. Более того, злоумышленники могли указывать собственные системные промпты или подключать «отравленные» модели, полностью контролируя работу приложения.
Моберли отметил, что эксплуатация уязвимости «в реальных условиях была бы тривиальной», и подчеркнул, что даже сама подготовка инфраструктуры атаки могла быть автоматизирована с помощью LLM . К счастью, команда Ollama отреагировала оперативно: уже через полтора часа после уведомления признала проблему и спустя час выпустила обновлённую версию v0.10.1, устраняющую баг. Для пользователей, установивших Ollama через официальные инсталляторы, достаточно было перезапустить программу, чтобы автообновление вступило в силу; те, кто ставил её через Homebrew, должны обновляться вручную.
PoC-код и техническое описание атаки опубликованы Моберли на GitLab. Пока нет данных о том, что уязвимость использовалась злоумышленниками, однако исследователь советует всем пользователям Ollama срочно убедиться в наличии патча.
Сам проект Ollama предназначен для локального запуска LLM-моделей на компьютерах под управлением macOS и Windows. Уязвимость не затронула базовый API Ollama и касалась исключительно нового графического интерфейса, существовавшего всего несколько недель до обнаружения бага. CVE-идентификатор для проблемы пока не присвоен.
Уязвимость в популярном инструменте для запуска ИИ-моделей Ollama открывала путь для «drive-by» атак , позволяя злоумышленникам через специально подготовленный сайт незаметно вмешиваться в работу локального приложения, читать личные переписки и даже подменять используемые модели, включая загрузку заражённых версий.
Недочёт в безопасности обнаружил и раскрыл 31 июля старший менеджер по безопасности GitLab Крис Моберли. Уязвимость затрагивала Ollama Desktop v0.10.0 и была связана с некорректной реализацией CORS -контролей в локальном веб-сервисе, отвечающем за работу графического интерфейса. В результате JavaScript на вредоносной странице мог сканировать диапазон портов на компьютере жертвы (от 40000 до 65535), находить случайный порт, используемый GUI Ollama, и отправлять поддельный «простой» POST-запрос , изменяя настройки и перенаправляя трафик на сервер атакующего.
После подмены конфигурации злоумышленник получал возможность перехватывать все локальные запросы, читать переписку и модифицировать ответы ИИ в реальном времени. Пользователь при этом видел обычный сайт, а атака происходила без каких-либо кликов или действий с его стороны. Более того, злоумышленники могли указывать собственные системные промпты или подключать «отравленные» модели, полностью контролируя работу приложения.
Моберли отметил, что эксплуатация уязвимости «в реальных условиях была бы тривиальной», и подчеркнул, что даже сама подготовка инфраструктуры атаки могла быть автоматизирована с помощью LLM . К счастью, команда Ollama отреагировала оперативно: уже через полтора часа после уведомления признала проблему и спустя час выпустила обновлённую версию v0.10.1, устраняющую баг. Для пользователей, установивших Ollama через официальные инсталляторы, достаточно было перезапустить программу, чтобы автообновление вступило в силу; те, кто ставил её через Homebrew, должны обновляться вручную.
PoC-код и техническое описание атаки опубликованы Моберли на GitLab. Пока нет данных о том, что уязвимость использовалась злоумышленниками, однако исследователь советует всем пользователям Ollama срочно убедиться в наличии патча.
Сам проект Ollama предназначен для локального запуска LLM-моделей на компьютерах под управлением macOS и Windows. Уязвимость не затронула базовый API Ollama и касалась исключительно нового графического интерфейса, существовавшего всего несколько недель до обнаружения бага. CVE-идентификатор для проблемы пока не присвоен.
- Источник новости
- www.securitylab.ru
