ثغرة Bleeding Llama في Ollama: تسريب ذاكرة 300 ألف خادم ذكاء اصطناعي دون مصادقة

كشف باحثون في شركة Cyera عن ثغرة حرجة في منصة Ollama لتشغيل نماذج الذكاء الاصطناعي المحلية، أُطلق عليها اسم "Bleeding Llama" وحملت المعرّف CVE-2026-7482 بتقييم CVSS 9.1. الثغرة تمكّن مهاجماً عن بُعد — دون أي مصادقة — من تسريب الذاكرة الكاملة لعملية الخادم، مما يعرّض مفاتيح API وبيانات المحادثات ومتغيرات البيئة الحساسة للسرقة المباشرة. التقديرات تشير إلى تأثر نحو 300 ألف خادم مكشوف على الإنترنت عالمياً.

التفاصيل التقنية لثغرة CVE-2026-7482

تكمن الثغرة في آلية تحميل نماذج GGUF داخل Ollama، تحديداً في ملفات fs/ggml/gguf.go وserver/quantization.go. عند رفع ملف GGUF مُعدّ خصيصاً عبر نقطة الوصول /api/create، يستطيع المهاجم تحديد قيم tensor offset وsize تتجاوز الحجم الفعلي للملف. أثناء عملية التكميم (quantization)، يقرأ الخادم بيانات تتخطى حدود المخزن المؤقت في الذاكرة (heap out-of-bounds read)، مما يسرّب محتويات الذاكرة المجاورة بالكامل.

يستخرج المهاجم البيانات المسرّبة عبر نقطة الوصول /api/push التي تتيح رفع النموذج الناتج — المحمّل ببيانات الذاكرة المسروقة — إلى سجل نماذج (registry) يسيطر عليه المهاجم. الخطورة تتضاعف لأن كلتا النقطتين (/api/create و/api/push) لا تتطلبان أي مصادقة في التوزيع الافتراضي لـ Ollama.

ما الذي يمكن تسريبه؟

محتويات الذاكرة المسرّبة قد تشمل: متغيرات البيئة (environment variables) التي غالباً تحتوي مفاتيح API لخدمات سحابية مثل AWS وAzure وOpenAI، والـ system prompts التي قد تتضمن تعليمات سرية أو منطق أعمال حساس، ومحادثات المستخدمين الجارية على الخادم في الوقت الفعلي. في بيئة مؤسسية يخدم فيها خادم Ollama عدة مستخدمين، يمكن للمهاجم الحصول على بيانات محادثات موظفين آخرين بمجرد استغلال الثغرة مرة واحدة.

لماذا الانتشار واسع؟

رغم أن التوزيع الافتراضي يربط Ollama بعنوان 127.0.0.1 المحلي فقط، إلا أن الإعداد الشائع OLLAMA_HOST=0.0.0.0 — الذي يُستخدم على نطاق واسع لإتاحة الوصول عبر الشبكة — يكشف الخادم للإنترنت بالكامل. عمليات المسح أظهرت أكثر من 300 ألف خادم Ollama مكشوف عالمياً، كثير منها يعمل في بيئات تطوير واختبار داخل مؤسسات تستخدم نماذج LLM المحلية لمعالجة بيانات حساسة.

التأثير على المؤسسات المالية السعودية

موجة تبنّي الذكاء الاصطناعي التوليدي تتسارع في القطاع المالي السعودي، حيث تستخدم بنوك وشركات تأمين ومؤسسات تقنية مالية أدوات مثل Ollama لتشغيل نماذج LLM محلياً بهدف الحفاظ على سيادة البيانات. ثغرة كهذه تضرب في صميم هذا التوجه: البيانات التي أُبقيت محلياً لحمايتها من السحابة العامة أصبحت مكشوفة لأي مهاجم يصل للشبكة.

إطار SAMA CSCC في ضوابط إدارة الأصول التقنية (3-1) وحماية البيانات (3-3) يُلزم المؤسسات بجرد كافة الأصول التقنية وتطبيق ضوابط وصول صارمة. نشر خادم Ollama بدون مصادقة يُعد مخالفة مباشرة. كذلك، تصنيف NCA ECC في ضوابط أمن التطبيقات يتطلب فحص واختبار كل مكون برمجي — بما فيه أُطر عمل الذكاء الاصطناعي — قبل النشر في بيئة الإنتاج. أما نظام PDPL فيُحمّل المؤسسة مسؤولية مباشرة عن أي تسريب لبيانات شخصية مُعالجة عبر هذه الأنظمة.

التوصيات والخطوات العملية

1. التحديث الفوري: ترقية Ollama إلى الإصدار 0.17.1 أو أحدث الذي يحتوي التصحيح الأمني لهذه الثغرة. التأكد من تطبيق التحديث على جميع النسخ في بيئات التطوير والاختبار والإنتاج.
2. تقييد الوصول الشبكي: عدم استخدام OLLAMA_HOST=0.0.0.0 إطلاقاً. إذا كان الوصول عن بُعد ضرورياً، استخدم VPN أو reverse proxy مع مصادقة قوية (mTLS أو OAuth2) أمام نقاط الوصول.
3. جرد أصول الذكاء الاصطناعي: إجراء مسح شامل للشبكة الداخلية باستخدام أدوات مثل runZero أو Shodan للكشف عن أي نسخة Ollama تعمل دون علم فريق الأمن — ظاهرة Shadow AI المتفشية في كثير من المؤسسات.
4. عزل بيئات AI: نشر خوادم LLM في شبكة فرعية (VLAN) معزولة مع قواعد جدار ناري صارمة تمنع الاتصال المباشر بالإنترنت وتقصر الوصول على المستخدمين المعتمدين فقط.
5. مراقبة النقاط الحساسة: إعداد تنبيهات SIEM لرصد أي استدعاءات مشبوهة لنقطتي /api/create و/api/push، خاصة من عناوين IP خارجية أو غير معروفة.
6. مراجعة متغيرات البيئة: إزالة أي مفاتيح API أو بيانات اعتماد مخزّنة كمتغيرات بيئة على خوادم Ollama، واستبدالها بحلول إدارة أسرار مثل HashiCorp Vault أو AWS Secrets Manager.

الخلاصة

ثغرة Bleeding Llama ليست مجرد خلل تقني في أداة مفتوحة المصدر — إنها تذكير بأن البنية التحتية للذكاء الاصطناعي تحتاج نفس مستوى الصرامة الأمنية المطبّق على أي نظام حرج. المؤسسات المالية التي تبنّت LLM المحلية للحفاظ على خصوصية بياناتها قد تجد أن هذه البيانات مكشوفة أكثر مما كانت عليه في السحابة العامة، إذا لم تُعامل أُطر عمل الذكاء الاصطناعي بنفس ضوابط الأمن المطبّقة على قواعد البيانات والتطبيقات الحرجة.

هل مؤسستك تستخدم نماذج ذكاء اصطناعي محلية؟ تواصل مع فريق فنترالينك لتقييم أمن بنيتك التحتية للذكاء الاصطناعي وضمان الامتثال لمتطلبات SAMA CSCC وNCA ECC.