Berita Terbaru

Bahaya Bleeding Llama, Data AI di Ollama Bisa Dicuri

Ilustrasi Cyber Security

Ilustrasi Cyber Security

Dunia keamanan siber kembali diguncang dengan temuan kerentanan kritis pada Ollama, platform open-source populer yang banyak digunakan untuk menjalankan model kecerdasan buatan (AI) secara lokal. Kerentanan ini dinilai sangat berbahaya karena memungkinkan penyerang jarak jauh membocorkan isi memori server tanpa memerlukan autentikasi apa pun.

Celah keamanan tersebut terdaftar dengan kode CVE-2026-7482 dan memperoleh skor CVSS 9.1, yang menandakan tingkat ancaman sangat tinggi. Peneliti keamanan dari Cyera memberi nama kerentanan ini “Bleeding Llama” karena kemampuannya “menguras” data sensitif dari memori aplikasi Ollama.

Temuan ini memicu kekhawatiran besar di kalangan pengembang dan perusahaan teknologi. Pasalnya, Ollama kini menjadi salah satu framework AI lokal paling populer di dunia dengan lebih dari 171 ribu bintang di GitHub dan digunakan secara luas untuk menjalankan large language model (LLM) tanpa ketergantungan pada layanan cloud.

 

Kerentanan Berasal dari Pemrosesan File Model AI

Berdasarkan penjelasan di CVE.org, kerentanan ditemukan pada sistem pemuatan file model berformat GGUF di Ollama versi sebelum 0.17.1. Masalah muncul ketika endpoint /api/create  menerima file GGUF yang sengaja dimanipulasi oleh penyerang.

GGUF atau GPT-Generated Unified Format merupakan format file yang digunakan untuk menyimpan model AI agar dapat dijalankan secara lokal. Format ini banyak digunakan karena efisien dan kompatibel dengan berbagai model AI modern.

Namun, dalam kasus ini, penyerang dapat membuat file GGUF palsu dengan ukuran tensor yang dimanipulasi melebihi ukuran file sebenarnya. Ketika Ollama memproses file tersebut saat pembuatan model, aplikasi akan membaca data memori di luar batas yang seharusnya tidak dapat diakses.

Kondisi tersebut dikenal sebagai out-of-bounds read, yaitu situasi ketika program membaca area memori di luar alokasi normal. Akibatnya, data sensitif yang tersimpan di memori server bisa ikut terbaca dan bocor.

Peneliti menyebut sumber utama masalah berasal dari penggunaan paket “unsafe” pada bahasa pemrograman Go, khususnya dalam fungsi WriteTo() . Penggunaan metode tersebut memungkinkan Ollama melewati perlindungan keamanan memori bawaan bahasa pemrograman.

 

Penyerang Bisa Mencuri API Key hingga Percakapan Pengguna

Yang membuat kerentanan ini sangat berbahaya adalah data yang berpotensi bocor dari memori server. Dalam banyak implementasi AI modern, server Ollama sering menyimpan berbagai informasi sensitif selama proses inferensi berlangsung.

Jika eksploitasi berhasil dilakukan, penyerang dapat memperoleh:

  • API key layanan pihak ketiga
  • Environment variables
  • Prompt sistem AI
  • Riwayat percakapan pengguna
  • Data internal perusahaan
  • Potongan kode sumber
  • Dokumen sensitif pelanggan

Peneliti keamanan dari Cyera, Dor Attias, mengatakan dampak kebocoran ini bisa sangat luas, terutama bagi perusahaan yang mulai mengintegrasikan AI lokal ke dalam sistem operasional mereka.

Menurutnya, banyak organisasi kini menghubungkan Ollama dengan berbagai alat otomatisasi dan coding berbasis AI seperti Claude Code. Dalam kondisi tersebut, seluruh hasil pemrosesan AI akan tersimpan sementara di memori heap server.

Artinya, apabila server berhasil dieksploitasi, penyerang bukan hanya memperoleh data pengguna biasa, tetapi juga bisa mengakses kode internal perusahaan, kontrak pelanggan, hingga kredensial layanan penting.

“Penyerang pada dasarnya bisa mengetahui hampir semua hal tentang organisasi melalui sistem inferensi AI mereka,” ujar Attias.

 

Begini Cara Serangan Dilakukan

Eksploitasi kerentanan Bleeding Llama disebut cukup sederhana apabila server Ollama terbuka ke internet tanpa perlindungan tambahan. Tahap pertama dimulai dengan mengunggah file GGUF berbahaya ke server menggunakan permintaan HTTP POST. File tersebut telah dimodifikasi agar memiliki ukuran tensor yang sangat besar.

Selanjutnya, penyerang memanfaatkan endpoint /api/create untuk memicu proses pembuatan model AI. Pada tahap inilah Ollama melakukan pembacaan memori di luar batas normal. Data yang berhasil terbaca kemudian dapat dikirim keluar menggunakan endpoint /api/push. Penyerang cukup mengunggah artefak model hasil manipulasi ke registry milik mereka sendiri.

Dengan kata lain, kebocoran data bisa dilakukan secara diam-diam tanpa memerlukan akses langsung ke sistem operasi server korban. Para peneliti memperingatkan bahwa server Ollama yang terbuka ke internet tanpa firewall menjadi target paling rentan terhadap serangan ini.

 

Popularitas AI Lokal Tingkatkan Risiko

Meningkatnya penggunaan AI lokal menjadi salah satu alasan mengapa kerentanan ini dianggap serius. Banyak perusahaan mulai menjalankan model AI di server internal demi menjaga privasi data dan mengurangi biaya cloud computing.

Namun ironisnya, pendekatan tersebut justru dapat membuka permukaan serangan baru apabila sistem tidak diamankan dengan benar.

Ollama sendiri populer karena kemudahan penggunaannya. Dengan beberapa perintah sederhana, pengguna bisa menjalankan berbagai model AI secara lokal, mulai dari chatbot, coding assistant, hingga sistem analisis dokumen.

Sayangnya, banyak pengguna menjalankan Ollama tanpa sistem autentikasi tambahan. REST API bawaan Ollama diketahui tidak menyediakan mekanisme keamanan default untuk membatasi akses.

Akibatnya, jika server terekspos ke internet, siapa pun dapat mencoba mengakses endpoint penting seperti /api/create  maupun /api/push .

 

Pengguna Diminta Segera Memperbarui Sistem

Sebagai langkah mitigasi, pengguna disarankan segera memperbarui Ollama ke versi terbaru yang telah memperbaiki kerentanan tersebut. Selain itu, administrator sistem juga diminta:

  • Membatasi akses jaringan ke server Ollama
  • Menempatkan server di belakang firewall
  • Menggunakan authentication proxy
  • Memasang API gateway tambahan
  • Memastikan server tidak terbuka langsung ke internet

Audit keamanan terhadap instance Ollama yang sedang berjalan juga sangat disarankan untuk memastikan tidak ada layanan yang terekspos secara publik.

 

Dua Kerentanan Baru di Windows Tambah Ancaman

Belum selesai dengan Bleeding Llama, peneliti dari Striga juga mengungkap dua kerentanan lain yang menyerang Ollama versi Windows. Kerentanan tersebut ditemukan pada mekanisme pembaruan otomatis aplikasi dan dapat digabungkan untuk menjalankan malware secara persisten di komputer korban. Dua celah keamanan itu masing-masing terdaftar sebagai:

  • CVE-2026-42248
  • CVE-2026-42249

Keduanya memiliki skor CVSS 7.7 dan hingga kini dilaporkan masih belum mendapatkan patch resmi. Menurut salah satu pendiri Striga, Bartłomiej Dmitruk, aplikasi desktop Ollama secara otomatis aktif saat pengguna login ke Windows melalui folder Startup.

Aplikasi juga secara rutin memeriksa pembaruan melalui endpoint /api/update. 

Masalah pertama muncul karena Ollama Windows tidak memverifikasi tanda tangan digital file pembaruan sebelum instalasi dilakukan. Artinya, file berbahaya dapat dijalankan tanpa pemeriksaan keamanan yang memadai.

Sementara itu, kerentanan kedua berasal dari kelemahan path traversal. Updater Ollama membuat direktori instalasi langsung dari respons HTTP tanpa validasi, sehingga penyerang dapat menulis file ke lokasi tertentu di sistem.

 

Malware Bisa Berjalan Setiap Kali Windows Login

Jika kedua kerentanan digabungkan, penyerang dapat menempatkan file executable berbahaya di folder Startup Windows. Akibatnya, malware akan otomatis berjalan setiap kali pengguna login ke komputer.

Skenario serangan menjadi lebih berbahaya apabila pelaku berhasil mengendalikan server pembaruan yang diakses korban. Dalam kondisi tersebut, pembaruan palsu dapat dikirim ke perangkat korban tanpa terdeteksi.

Peneliti menyebut salah satu metode serangan dilakukan dengan memodifikasi variabel  OLLAMA_UPDATE_URL  agar aplikasi mengarah ke server HTTP milik penyerang.

Karena fitur AutoUpdateEnabled  aktif secara default, korban kemungkinan besar tidak menyadari proses tersebut. Payload yang dapat dijalankan melalui serangan ini meliputi:

  • Reverse shell
  • Malware pencuri data
  • Pencurian SSH key
  • Pencurian kredensial browser
  • Malware persistence tambahan

Menurut CERT Polska, seluruh Ollama untuk Windows versi 0.12.10 hingga 0.17.5 rentan terhadap serangan tersebut.

 

Langkah Sementara untuk Pengguna Windows

Sebelum patch resmi tersedia, pengguna disarankan menonaktifkan fitur pembaruan otomatis dan menghapus shortcut Ollama dari folder Startup Windows. Folder tersebut berada di lokasi:

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup 

Peneliti menegaskan bahwa menghapus file malware dari folder Startup memang dapat menghentikan persistensi sementara. Namun akar masalah tetap ada hingga pengembang merilis pembaruan keamanan resmi.

Kasus ini kembali menjadi pengingat bahwa meningkatnya adopsi AI juga diikuti dengan munculnya ancaman keamanan baru. Di tengah perlombaan membangun sistem AI lokal yang cepat dan efisien, aspek keamanan siber tetap menjadi faktor penting yang tidak boleh diabaikan.

Bagikan artikel ini
Komentar ()

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait