大工网安告[2025009]
近期人工智能大模型DeepSeek及相关部署工具Ollama在校内的应用呈现增长趋势,其相关网络安全风险也需校内用户关注,具体提示如下:
一、 DeepSeek安全风险
根据搜集汇总的网络安全情报显示,DeepSeek开源大模型在技术架构、访问控制及模型交互等多个层面存在安全漏洞。攻击者可利用这些漏洞实施数据窃取、服务瘫痪或恶意代码生成等攻击,甚至威胁供应链安全。
1 风险详情
1.1 提示词注入攻击
大语言模型与传统系统不同,传统系统对于预设好的指令不会更改,而大语言模型对于指令和输入的边界变得模糊。攻击者通过干扰测试可 100% 操控模型输出,绕过内容安全过滤机制。例如,利用递归提示词迫使模型执行高负载计算,或生成不当内容。
1.2 供应链投毒
Python官方软件包仓库PyPI (Python Package Index)发现由黑客伪装成DeepSeek上传的恶意软件包”deepseeek”和”deepseekai”,诱导开发者下载使用。其恶意荷载通过云平台实时回传用户变量、API密钥、数据库凭证等核心信息。
1.3 仿冒伪造域名
DeepSeek被广泛应用后,出现大量仿冒DeepSeek的域名。仿冒域名主要用于钓鱼欺诈、域名抢注、流量引导。其中,钓鱼欺诈主要通过窃取用户登录凭证、利用相似域名和界面,误导用户、诱骗用户购买虚拟资产等手段实施诈骗。
2 防护建议
❖ 强制限制DeepSeek的推理时间或最大Token用量,中断异常思考。
❖ 实时记录模型输入和响应,对内容进行审核来消除有害输入并过滤不安全的回应。
❖ 通过沙箱隔离推理过程、检测提示词注入,并限制模型执行高危操作(如代码执行)。
❖ 对所有传输的数据进行脱敏和加密,避免敏感信息泄露。
❖ 严格验证第三方依赖项,可以使用PyPI/Sonatype Nexus Firewall等工具拦截未签名或来源可疑的依赖包;对开源包进行代码签名验证,确保哈希值与官方一致。
❖ 在使用DeepSeek网页版或下载DeepSeek APP时,仔细识别域名地址,确保使用DeepSeek官方网站【https://www.deepseek.com】或从正规应用市场下载。
二、 Ollama安全风险
Ollama是一个本地私有化部署大语言模型(LLM,如DeepSeek等)的运行环境和平台,简化了大语言模型在本地的部署、运行和管理过程,具有简化部署、轻量级可扩展、API支持、跨平台等特点,在AI领域得到了较为广泛的应用,但也存在一定的安全风险。
1 风险详情
1.1 未授权访问漏洞
Ollama存在未授权访问漏洞(CNVD-2025-04094),Ollama 默认未设置身份验证和访问控制功能,其服务 API 接口(如http://XX.XX.XX.XX:11434)可在未授权情况下被调用,攻击者可远程访问该接口,执行包括但不限于敏感模型资产窃取、虚假信息投喂、模型计算资源滥用和拒绝服务、系统配置篡改和扩大利用等恶意操作。
1.2 数据泄露
通过特定接口可访问并提取模型数据,引发数据泄露风险。如:通过/api/show接口,攻击者能够获取模型的license等敏感信息,以及其他接口获取已部署模型的相关敏感数据信息。
1.3 历史高危漏洞
漏洞名称 | 风险等级 | 漏洞概述 |
Ollama 远程代码执行漏洞(CVE-2024-37032) | 高危(CVSS评分9.1) | 在 Ollama 0.1.34 之前的版本中存在远程代码执行漏洞,攻击者无需身份验证即可通过接口操控服务器,实现任意代码执行。 |
Ollama 路径遍历漏洞(CVE-2024-45436) | 高危(CVSS评分9.1) | 在 Ollama 0.1.47 之前的版本中,extractFromZipFile函数在处理ZIP文件解压时,未能正确限制文件路径,导致攻击者可以通过特制的ZIP文件将文件解压到父目录之外。 |
Ollama 信息泄露漏洞(CVE-2024-39722) | 高危(CVSS评分7.5) | 在 Ollama 0.1.46 之前的版本中发现了一个漏洞。它通过 api/push 路由中的路径遍历,攻击者可以通过发送包含不存在的文件路径参数的恶意请求,利用该漏洞确定服务器上文件的存在性。 |
Ollama 信息泄露漏洞(CVE-2024-39719) | 高危(CVSS评分7.5) | Ollama 0.3.14 及之前版本存在信息泄露漏洞,该漏洞源于/api/create端点对路径参数处理不当。攻击者可以通过发送包含不存在的文件路径参数的恶意请求,利用该漏洞确定服务器上文件的存在性,从而可能泄露敏感信息。 |
Ollama DNS 重绑定漏洞(CVE-2024-28224) | 高危(CVSS评分8.8) | Ollama 在 0.1.29 版本之前存在一个 DNS 重绑定漏洞,可能允许远程访问完整 API,从而让未经授权的用户与大型语言模型聊天、删除模型或导致拒绝服务(资源耗尽)。 |
Ollama 拒绝服务漏洞(CVE-2024-39721) | 高危(CVSS评分7.5) | Ollama 在 0.1.34 版本之前存在一个拒绝服务漏洞,该漏洞存在于Ollama的/api/create端点中,CreateModelHandler函数未对用户控制的req.Path参数进行适当验证。攻击者可以通过向该端点发送包含特殊文件路径(如/dev/random)的POST请求,使程序进入无限循环,耗尽系统资源,最终导致拒绝服务。 |
Ollama 拒绝服务漏洞(CVE-2024-39720) | 高危(CVSS评分8.2) | 在 Ollama 0.1.46 之前的版本中发现了一个漏洞。攻击者可以利用两个HTTP 请求上传一个仅包含以 GGUF 自定义魔术头开始的 4 个字节的畸形 GGUF 文件。通过利用一个包含指向攻击者控制的 blob 文件的 FROM 语句的自定义 Modelfile,攻击者可以通过 CreateModel 路由使应用程序崩溃,导致段错误。 |
2 防护建议
2.1 配置访问控制
❖ 若Ollama仅对本地提供服务,建议设置环境变量【Environment=”OLLAMA_HOST=127.0.0.1”】,仅允许本地访问。
❖ 若Ollama对外提供服务,建议修改config.yaml、settings.json配置文件限定可调用Ollama服务的IP地址,或者在防火墙等设备部署IP白名单。
2.2 实施多层认证
❖ 启用API密钥管理,定期更换密钥并限制调用频率。部署IP白名单或零信任架构,仅授权可信设备访问。
❖ 修改Ollama配置,增加身份认证机制。可以通过反向代理实现身份验证和授权(如使用OAuth2.0协议),防止未经授权用户访问。
2.3 禁用危险操作接口
禁用push/delete/pull等请求,并限制chat接口的调用频率以防DDoS攻击。
2.4 历史漏洞修复
及时更新Ollama至安全版本,修复已知安全漏洞。
