Ollamaに認証不要のメモリ漏洩脆弱性「Bleeding Llama」が発見
Original: Bleeding Llama: Critical Unauthenticated Memory Leak in Ollama View original →
Bleeding Llamaとは
セキュリティ研究会社Cyeraが、Ollamaに「Bleeding Llama」と名付けられた重大な脆弱性を発見した。認証なしでリモートからサーバーメモリにアクセスできる可能性があるこの脆弱性は、r/LocalLLaMAコミュニティで大きな懸念を呼んだ。
リスクの内容
Ollamaはローカルで大規模言語モデルをREST APIサーバーとして実行するための人気ツールだ。デフォルト設定ではlocalhostのみアクセス可能だが、多くのユーザーがチーム利用のためローカルネットワークや公開サーバーに露出させている。その場合、Bleeding Llamaにより攻撃者がサーバーメモリを読み取り、会話履歴、APIキー、その他の機密データを窃取できる可能性がある。
対応方法
ネットワーク公開環境でOllamaを実行しているユーザーは即座に最新パッチ済みバージョンにアップデートすべきだ。Ollamaのデフォルトポート(11434)への外部アクセスをブロックするファイアウォールルールも確認すること。ローカルLLMのチーム・プロダクション環境での展開が一般的になるにつれ、このような脆弱性はセキュリティ強化の重要性を改めて示している。
Related Articles
DeepSeekがDeepSeek-V4-Pro(総パラメータ1.6兆、アクティブ49B)とV4-Flash(284B/13B)を公開した。両モデルはMITライセンスで100万トークンコンテキストに対応するMixture-of-Expertsモデル。V4-Proはこれまでで最大のオープンウェイトモデルとなり、価格はGPT-5.4やClaude Sonnet 4.6の半分以下だ。
HNはMistral Medium 3.5を単なるモデル追加として見なかった。4GPU自前運用、オープンウェイト、遠隔コーディングエージェントの組み合わせが議論の中心だった。
重要なのは、順位上昇がより安い学習コストとセットで出てきたことだ。BaiduはERNIE 5.1 PreviewがLMArena Textで世界13位、中国ラボ首位に入り、事前学習コストは同規模比較で約6%だと書いた。
Comments (0)
No comments yet. Be the first to comment!