020-87110228(24小时报障、咨询、投诉热线)

科学计算公共服务平台 |  一卡通服务网站 |  网上营业厅

新闻与通知
关于开源工具Ollama存在未授权访问高危漏洞的预警通知
发布时间: 2025-03-03

各二级单位:

经有关部门通报,用于私有化部署DeepSeek等大模型的开源工具Ollama默认未设置身份验证和访问控制功能,其默认服务API接口(http://XX.XX.XX.XX:11434)可以在未授权情况下被调用,攻击者可远程访问该接口,调用私域大模型计算资源,窃取知识库、投喂虚假甚至有害信息等。

鉴于上述漏洞可能造成敏感数据泄露,请各单位使用Ollama部署大模型时采取以下措施,消除安全隐患:

一、若Ollama只对本地提供服务,建议设置环境变量,Environment=OLLAMA_HOST=127.0.0.1,仅允许本地访问。

二、若Ollama对外提供服务,建议按照以下任一方式设置:1.修改config.yaml、settings.json配置文件限定可调用Ollama服务的IP地址;2.在防火墙等设备部署IP白名单,严格限定访问IP地址;3.通过反向代理实现身份验证和授权(如使用OAuth2.0协议),防止未经授权用户访问。

三、加强网络安全监测,若发生相关网络安全事件,各单位应第一时间报告网络中心24小时值班电话(020-87110228),并采取有效措施将负面影响降到最低。

咨询服务电话:020-87114020

 

 

信息网络工程研究中心(信息化办公室)

2025年3月3日