ثغرة Bleeding Llama: كيف تهدد Ollama أسرار الذكاء الاصطناعي والبيانات المؤسسية؟
"ثغرة Bleeding Llama تهدد خوادم Ollama عالميًا وتسمح بتسريب مفاتيح API وبيانات المحادثات الحساسة من الذاكرة. اكتشاف ثغرات إضافية في إصدار ويندوز تسمح للمهاجمين بالسيطرة الكاملة على الأنظمة عبر تحديثات خبيثة."
مقدمة تحليلية
في عالم يتسابق فيه الجميع نحو تبني تقنيات الذكاء الاصطناعي، برزت منصة Ollama كواحدة من أهم الأدوات مفتوحة المصدر التي تسمح للمطورين والشركات بتشغيل النماذج اللغوية الضخمة (LLMs) محليًا، بعيدًا عن سحابة الشركات الكبرى. ومع وصول المشروع إلى أكثر من 171,000 نجمة على GitHub، أصبح الركيزة الأساسية لآلاف التطبيقات. لكن هذا الصعود السريع واجه اليوم صدمة أمنية كبرى بعد الكشف عن ثغرة أمنية حرجة تحمل الاسم الرمزي Bleeding Llama، والتي تم تصنيفها تحت الرقم التتبعي CVE-2026-7482 وبدرجة خطورة CVSS بلغت 9.1.
هذه الثغرة ليست مجرد خطأ برمجي عابر، بل هي ثغرة من نوع القراءة خارج الحدود (Out-of-Bounds Read) تتيح للمهاجمين غير المصرح لهم تسريب كامل ذاكرة العمليات الخاصة بالخادم عن بُعد. التأثير يتجاوز مجرد تعطل الخدمة؛ فهو يمس صلب الخصوصية والبيانات الحساسة التي صُمم Ollama لحمايتها أصلًا عبر التشغيل المحلي. نحن أمام خطر يهدد أكثر من 300,000 خادم منتشر عالميًا، مما يضع المؤسسات التي تعتمد على نماذج الذكاء الاصطناعي في مواجهة تحدي أمني يتطلب تحركًا فوريًا وحاسمًا.
التحليل التقني
تكمن جذور المشكلة في كيفية معالجة Ollama لملفات النماذج بتنسيق GGUF (GPT-Generated Unified Format). هذا التنسيق يُستخدم لتخزين النماذج اللغوية بحيث يمكن تحميلها وتنفيذها بكفاءة. الخلل يظهر تحديدًا في محمل النماذج (Model Loader) قبل الإصدار 0.17.1. تقنيًا، يعتمد Ollama على لغة البرمجة Go، ولكن في أجزاء معينة تتعلق بإدارة الذاكرة وتحويل النماذج (Quantization)، يتم استخدام حزمة unsafe Package، وهي حزمة تسمح بالعمليات التي تتجاوز ضمانات سلامة الذاكرة الافتراضية في Go.
ميكانيكية استغلال الثغرة
- التلاعب بتنسيق GGUF: يقوم المهاجم بصياغة ملف GGUF خبيث يحتوي على قيم مضللة لسمات التنسور (Tensor)، حيث يتم تعيين قيمة إزاحة التنسور (Tensor Offset) وحجمه بشكل يتجاوز الطول الفعلي للملف.
- تجاوز حدود الذاكرة (Heap Overflow): عند إرسال هذا الملف إلى نقطة النهاية /api/create، يبدأ الخادم في محاولة معالجة الملف. وبسبب ضعف التحقق في دوال WriteTo() الموجودة في ملفات ggml.go و quantization.go، يقرأ الخادم بيانات من ذاكرة الـ Heap تتجاوز النطاق المخصص له.
- تسريب البيانات وتسريبها: يمكن للمهاجم استخدام نقطة النهاية /api/push لرفع 'أداة النموذج' الناتجة (والتي تحتوي الآن على أجزاء مسربة من الذاكرة) إلى سجل (Registry) تحت سيطرته، مما يسمح له بمراجعة محتويات الذاكرة المسربة.
البيانات التي يمكن تسريبها تشمل متغيرات النظام (Environment Variables)، مفاتيح API الخاصة بخدمات أخرى، التعليمات البرمجية الحساسة، وسجلات المحادثات الحالية للمستخدمين الآخرين على نفس الخادم. الأمر يزداد تعقيدًا مع اكتشاف ثغرتين إضافيتين (CVE-2026-42248 و CVE-2026-42249) في نسخة Ollama المخصصة لويندوز، حيث تسمح هذه الثغرات بتنفيذ أكواد برمجية عن بُعد (RCE) عبر التلاعب بآلية التحديث التلقائي، واستغلال ثغرة في مسار الملفات (Path Traversal) لوضع ملفات خبيثة في مجلد Startup الخاص بنظام التشغيل.
السياق وتأثير السوق
يمثل Ollama بالنسبة لقطاع الذكاء الاصطناعي ما يمثله Docker بالنسبة للحاويات؛ فهو يبسط التعقيد. انتشار الثغرة في 300 ألف خادم يعكس حجم الاعتماد المؤسسي الهائل على أدوات الذكاء الاصطناعي مفتوحة المصدر. تاريخيًا، كانت ميزة Ollama الكبرى هي 'الخصوصية المطلقة'، ولكن Bleeding Llama تقلب هذه الميزة إلى نقطة ضعف. بالمقارنة مع تنسيقات أخرى مثل Safetensors التي صُممت لتكون أكثر أمانًا من خلال تجنب تنفيذ الأكواد أثناء التحميل، فإن GGUF أظهر هنا نقطة ضعف في التنفيذ البرمجي لـ Ollama وليس في التنسيق نفسه.
سوق الذكاء الاصطناعي المحلي ينمو بسرعة لأن الشركات تخشى من تسريب بياناتها إلى OpenAI أو Google. وجود ثغرة تتيح تسريب الذاكرة يعني أن المهاجم يمكنه الحصول على 'المطالبات النظامية' (System Prompts) التي قد تمثل سرًا تجاريًا، أو حتى الحصول على بيانات العملاء التي يتم معالجتها في الوقت الفعلي. هذا سيجعل الشركات تعيد النظر في استراتيجيات التأمين المحيطة بـ LLMs، والتحول من مجرد 'التشغيل المحلي' إلى 'التشغيل المحلي المحصن'.
رؤية Glitch4Techs
في Glitch4Techs، نرى أن ثغرة Bleeding Llama هي جرس إنذار حقيقي لمجتمع مطوري الذكاء الاصطناعي. المشكلة الأساسية ليست في الخطأ البرمجي فحسب، بل في فلسفة التصميم التي تترك واجهة REST API الخاصة بـ Ollama مفتوحة بدون نظام مصادقة (Authentication) افتراضي. إن اعتماد المطورين على أدوات مثل Claude Code وربطها بـ Ollama يزيد من سطح الهجوم بشكل مرعب، حيث تصبح مخرجات هذه الأدوات الحساسة مخزنة في الذاكرة المعرضة للتسريب.
توصيات فريق Glitch4Techs للمسؤولين التقنيين:
- التحديث الفوري: يجب الانتقال فورًا إلى الإصدار 0.17.1 أو أحدث لإغلاق ثغرة تسريب الذاكرة.
- عزل الشبكة: لا ينبغي أبدًا تعريض واجهة Ollama للإنترنت العام. يجب وضعها خلف جدار حماية (Firewall) أو بوابة API تتطلب مصادقة قوية.
- لمستخدمي ويندوز: يجب تعطيل التحديثات التلقائية مؤقتًا وحذف أي اختصار لـ Ollama من مجلد Startup حتى يتم إصدار تصحيحات رسمية للثغرات غير المرقعة (CVE-2026-42248/49).
- مراقبة الـ Heap: استخدام أدوات مراقبة أمنية لرصد أي عمليات قراءة غير طبيعية للذاكرة أو محاولات رفع نماذج غير مصرح بها عبر /api/push.
إن مستقبل الذكاء الاصطناعي المحلي يعتمد على الثقة، وثغرات مثل هذه تذكرنا بأن 'المحلي' لا يعني بالضرورة 'الآمن' ما لم يتم تطبيق معايير الأمن السيبراني التقليدية بصرامة على هذه الأدوات الحديثة.
كن أول من يعرف بمستقبل التقنية
أهم الأخبار والتحليلات التقنية مباشرة في بريدك.