Pesquisadores em cibersegurança têm revelado vulnerabilidade crítica em Ollama - o framework que permite executar modelos de linguagem de grande tamanho (LLM) localmente - que pode expor a memória completa do processo e, portanto, segredos sensíveis. Catalogada como CVE-2026-7482 e apodada "Bleeding Chama", a falha é um out- of-bounds read No carregador de modelos GGUF e recebeu uma pontuação CVSS alta (9.1), indicando um risco real e explorável em ambientes com instâncias expostas.
Em termos técnicos, o problema surge quando o servidor aceita um arquivo GGUF malformado através do endpoint de criação de modelos; ao processar, uma função que usa a rota perigosa do pacote unsafe em Go lê além do búfer atribuído, o que permite filtrar conteúdo arbitrário da memória do processo. Na prática, isto pode ser traduzido na divulgação de variáveis de ambiente, chaves de API, mensagens do sistema (system prompts) e conversas de usuários concorrentes. O atacante também pode transformar essa leitura em exfiltração real subindo o artefato resultante a um registro controlado por ele através do endpoint de subida do servidor.
O tamanho e a importância de Ollama como alternativa local à nuvem torna esta falha particularmente preocupante: o projeto tem uma ampla pegada em desenvolvedores e organizações e, segundo relatos, a vulnerabilidade poderia impactar centenas de milhares de servidores. O repositório oficial do projeto pode ser revisto para confirmar versões e atualizações publicadas pelos desenvolvedores: https://github.com/ollama/ollama. Para o registro e detalhes formais do CVE consulte o aviso na base de dados nacional de vulnerabilidades: https://nvd.nist.gov/vuln/detail/CVE-2026-7482.
O caso se complica porque, em paralelo, pesquisadores encontraram duas falhas no mecanismo de atualização da aplicação de Ollama para Windows que, combinados, permitem execução de código persistente no início de sessão. Estas vulnerabilidades incluem a falta de verificação de assinatura do binário de atualização e um percurso de diretório (path traversal) que pode escrever executáveis na pasta de arranque do Windows se o processo de atualização estiver controlado por um atacante. O resultado pode ser persistência silenciosa e execução com os privilégios do usuário que corre Ollama.
O que devem fazer administradores e usuários agora? Em primeiro lugar, Aplicar sistemas e versões oficiais Quanto disponíveis e publicados pelos mantenedores do projeto; se não houver atualização imediata, contemple desconectar as instâncias de Ollama de redes públicas e auditar todo endpoint REST exposto. Proteja as instâncias com um 'proxy' de autenticação ou um gateway API à frente do serviço, uma vez que a API REST de Ollama não incorpora autenticação por defeito. Limite o acesso de rede a IPs e sub-redes de confiança e coloque as máquinas por trás de um firewall. Em ambientes Windows, ao avaliar ou aplicar adesivos, desactive as atualizações automáticas do cliente e remova qualquer acesso direto na pasta de inicialização do usuário para impedir a execução silenciosa ao iniciar sessão.
A mitigação de impacto não é ignorada: rote chaves e credenciais potencialmente armazenadas em máquinas afetadas, verifique registros e artefatos subidos (incluindo modelos armazenados em registries) e faça buscas de arquivos incomuns na pasta de Startup no Windows. Considere executar o Ollama em contentores ou ambientes com privilégios mínimos, e limite as ligações com outras ferramentas automatizadas (por exemplo, integradores de cadeias de ferramentas) que possam enviar dados sensíveis ao processo e assim ampliar a superfície de ataque.
Finalmente, este incidente destaca duas tendências mais amplas: por um lado, correr LLM locais reduz a dependência da nuvem, mas aumenta a responsabilidade pela segurança do host; por outro lado, o uso de rotas inseguras dentro de linguagens “seguro por design” como Go (por exemplo, o pacote unsafe) pode introduzir vulnerabilidades críticas se não for aplicado um controle rigoroso. Organizações que dependem de implantaçãos locais de modelos devem incorporar revisões de segurança específicas para cargas úteis de modelos (GGUF ou outros) e monitorar ativamente exposições de serviços. Mantenha-se informado através dos avisos oficiais do projeto e de fontes de CVE, e priorize a contenção e a auditoria se tiver instâncias acessíveis em rede.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...