ثغرة Bleeding Llama في Ollama: تسريب ذاكرة 300 ألف خادم ذكاء اصطناعي دون مصادقة

كشف باحثون أمنيون عن ثغرة حرجة في منصة Ollama لتشغيل نماذج الذكاء الاصطناعي المحلية، تحمل الاسم الرمزي "Bleeding Llama" وتصنيف CVSS 9.1، تُمكّن مهاجماً غير مصادق من تسريب كامل ذاكرة العملية على الخادم — بما في ذلك مفاتيح API والمحادثات الجارية ومتغيرات البيئة — عبر طلب HTTP واحد دون أي تفاعل من المستخدم.

ثغرة CVE-2026-7482: قراءة خارج حدود الذاكرة في محلل GGUF

تكمن الثغرة في مكون تحميل نماذج GGUF داخل Ollama في الإصدارات السابقة لـ 0.17.1. عند استدعاء نقطة النهاية /api/create، يقبل الخادم ملف GGUF يحتوي على قيم tensor offset وsize تتجاوز الحجم الفعلي للملف. أثناء عملية التكميم (quantization) في الوحدتين fs/ggml/gguf.go وserver/quantization.go، يقرأ الخادم بيانات تتجاوز حدود المخزن المؤقت المخصص على الـ heap، مما يؤدي إلى تسريب محتويات ذاكرة العملية بالكامل.

سلسلة الاستغلال: ثلاث خطوات للوصول إلى البيانات الحساسة

يتم استغلال الثغرة عبر ثلاث مراحل متتالية: أولاً، يرفع المهاجم ملف GGUF مُعدّل يحتوي على أبعاد tensor مضخّمة إلى خادم Ollama المكشوف عبر طلب HTTP POST. ثانياً، يستدعي نقطة النهاية /api/create لتفعيل إنشاء النموذج، مما يُحفّز القراءة خارج الحدود. ثالثاً، يستخدم نقطة النهاية /api/push لتصدير النموذج المُلوّث — الذي يحتوي الآن على بيانات الذاكرة المسرّبة — إلى سجل نماذج خارجي يتحكم فيه المهاجم.

الخطورة الاستثنائية تكمن في أن نقطتي النهاية /api/create و/api/push لا تتطلبان أي مصادقة في التوزيعة الأصلية. ورغم أن الإعداد الافتراضي يربط الخدمة بـ 127.0.0.1، إلا أن إعداد OLLAMA_HOST=0.0.0.0 شائع الاستخدام في بيئات الإنتاج لتمكين الوصول عن بُعد.

البيانات المعرضة للتسريب

تشمل محتويات الذاكرة المسرّبة: متغيرات البيئة (Environment Variables) التي قد تحتوي على مفاتيح API وبيانات اعتماد قواعد البيانات، والنصوص التوجيهية للنظام (System Prompts) التي تكشف منطق التطبيق الداخلي، ومحادثات المستخدمين الجارية على نفس الخادم، وأي رموز وصول (tokens) محمّلة في الذاكرة. هذا يجعل الثغرة أشبه بثغرة Heartbleed الشهيرة لكن في سياق منصات الذكاء الاصطناعي.

التأثير على المؤسسات المالية السعودية

مع تسارع تبني المؤسسات المالية السعودية لحلول الذكاء الاصطناعي التوليدي — سواء لأتمتة خدمة العملاء أو تحليل المخاطر أو معالجة المستندات — يزداد نشر منصات مثل Ollama داخلياً لتشغيل النماذج دون إرسال البيانات لمزودين خارجيين. هذه الثغرة تُبطل ميزة الخصوصية الأساسية التي يُنشر Ollama من أجلها.

من منظور تنظيمي، يُلزم إطار SAMA CSCC في ضوابط إدارة التقنيات الناشئة بتقييم مخاطر حلول الذكاء الاصطناعي قبل نشرها. كما أن تسريب محادثات العملاء أو بياناتهم المالية عبر هذه الثغرة يُشكّل مخالفة صريحة لنظام حماية البيانات الشخصية (PDPL) وتحديداً المادتين 14 و24 المتعلقتين بالحماية التقنية والإبلاغ عن الانتهاكات. أما معيار NCA ECC فيتطلب في ضابط الأمن التطبيقي إجراء فحص أمني لأي تقنية جديدة قبل إدخالها في بيئة الإنتاج.

التوصيات والخطوات العملية

1. الترقية الفورية: تحديث Ollama إلى الإصدار 0.17.1 أو أحدث على جميع الخوادم، مع التحقق من عدم وجود نسخ قديمة في بيئات التطوير والاختبار.
2. عزل الشبكة: عدم كشف Ollama مباشرة على الإنترنت مطلقاً. استخدام reverse proxy مع مصادقة قوية (mutual TLS أو OAuth2) أمام أي API للذكاء الاصطناعي.
3. مراجعة الإعدادات: التأكد من أن OLLAMA_HOST مضبوط على 127.0.0.1 ما لم يكن الكشف الخارجي مطلوباً ومحمياً بطبقات أمان إضافية.
4. فحص السجلات: مراجعة سجلات الوصول بحثاً عن طلبات مشبوهة إلى /api/create و/api/push من عناوين IP غير معروفة خلال الفترة السابقة.
5. جرد أصول الذكاء الاصطناعي: إجراء مسح شامل للبنية التحتية لتحديد جميع عمليات نشر Ollama — بما فيها النسخ غير الرسمية التي قد ينشرها المطورون بمعزل عن فريق الأمن (Shadow AI).
6. تضمين AI في إطار إدارة المخاطر: تحديث سجل الأصول ومصفوفة المخاطر لتشمل منصات تشغيل نماذج الذكاء الاصطناعي كأصول حرجة تخضع لنفس ضوابط الحوكمة.

الخلاصة

ثغرة Bleeding Llama تذكير صارخ بأن نشر الذكاء الاصطناعي محلياً لا يعني تلقائياً أنه آمن. المؤسسات المالية التي تعتمد على Ollama أو منصات مشابهة دون إخضاعها لنفس معايير الأمان المطبقة على أي تطبيق حرج تُعرّض بيانات عملائها وسمعتها التنظيمية لمخاطر جسيمة. المطلوب هو معاملة البنية التحتية للذكاء الاصطناعي بنفس صرامة أنظمة الإنتاج المصرفية.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC يشمل تقييم مخاطر حلول الذكاء الاصطناعي المنشورة في بيئتكم.