Ollamaバージョン0.7.0未満において、モデルファイル解析メカニズムに境界外書き込みの脆弱性が存在すると、2025年11月20日にAbinaya氏が報じた。
GitHubで15万5000以上のスターを獲得しているOllamaは、gpt-oss、DeepSeek-R1、Llama4、Gemma3などのオープンソースモデルをローカルで実行可能にするツールである。
Sonarsource研究者が発見したこの脆弱性は、C++で記述されたmllamaモデルの解析コードに起因し、特別に作成されたGGUFモデルファイルのメタデータ検証不備により発生する。攻撃者が悪意のあるモデルをロードさせると、システム上で任意のリモートコード実行(RCE)が可能となる。
開発チームはバージョン0.7.0で該当コードをGo言語へ書き換えて修正した。
From: 
Ollama Vulnerabilities Let Attackers Execute Arbitrary Code by Parsing of Malicious Model Files
【編集部解説】
今回のOllamaの脆弱性は、単なるソフトウェアの不具合ではありません。「ローカルLLMなら安全」という、私たちが抱いていた「神話」に一石を投じる重要な警鐘です。
なぜなら、多くのユーザーはOllamaを導入する際、外部サーバーにデータを送らない「プライバシー保護」を最大の動機としているからです。しかし、今回発覚したのは、その信頼の根幹を揺るがす「モデルファイルの解析処理」そのものに潜む罠でした。具体的には、攻撃者が作成した悪意あるGGUFファイルを読み込むだけで、PCの全権限を奪取(RCE)される可能性があるというものです。
技術的な核心は、Ollamaがこれまでモデル解析の一部(mllama等)にC++を使用していた点にあります。C++は高速ですが、メモリ管理を開発者が手動で行う必要があり、今回のような「境界外書き込み(Out-Of-Bounds Write)」のリスクと隣り合わせでした。対して、開発チームがバージョン0.7.0で採用したGo言語は、メモリ管理を自動化する現代的な設計思想を持っています。この「C++からGoへの書き換え」は、Ollamaが実験的なツールから、社会インフラとして耐えうる堅牢なプロダクトへと「進化(Evolution)」した瞬間と言えるでしょう。
しかし、これは技術だけの問題ではありません。私たちユーザーの「行動」も問われています。Hugging FaceやCivitaiなどで公開されているモデルファイルを、音楽や画像のように気軽にダウンロードしていませんか? 今回の件は、その「ファイル一つ」が、実は高度な攻撃コードを含む「トロイの木馬」になり得ることを示しました。
今後は、モデルファイルの署名検証や、信頼できる配布元からのダウンロードといった「AIサプライチェーン」のセキュリティが、個人のPCレベルでも必須となります。テクノロジーの進化を享受するためには、私たち自身のリテラシーもまた、進化させなければならないのです。
【用語解説】
mllama
Llamaモデルのマルチモーダル(テキスト以外の画像なども扱える)対応版を指す記述。記事中では特にこのモデルの解析処理を行うC++コードに脆弱性が存在したとされる。
PIE (Position Independent Executable)
セキュリティ機能の一つ。プログラムがメモリにロードされる際、配置されるアドレスをランダム化する仕組み。攻撃者が特定のアドレスを狙って攻撃コードを実行するのを困難にする。
境界外書き込み (Out-Of-Bounds Write)
プログラムが確保したメモリ領域の外側にデータを書き込んでしまう脆弱性。バッファオーバーフローの一種であり、攻撃者による任意のコード実行(RCE)につながる危険性が高い。
RCE (Remote Code Execution)
遠隔コード実行。攻撃者がネットワーク越しに標的のコンピュータ上で任意のコマンドやプログラムを実行できる状態。システムの完全な乗っ取りを許す深刻な脆弱性である。
【参考リンク】
Ollama(外部)
LLMをローカル環境で簡単に実行できるツール。macOS、Linux、Windowsに対応し、Llama 3やGemmaなどのモデルを導入可能。
Sonar (旧 SonarSource)(外部)
コード品質とセキュリティのための静的解析ツールを提供する企業。今回のOllamaの脆弱性を発見したリサーチチームを擁する。
GitHub – Ollama リポジトリ(外部)
Ollamaのソースコードが公開されている場所。リリースノートや脆弱性修正の詳細な履歴、コミュニティの活動状況を確認できる。
【参考記事】
Ollama Remote Code Execution: Securing the Code That Runs LLMs(外部)
発見者Sonarによる技術解説。脆弱性の詳細メカニズムと、Ollamaチームが行ったC++からGoへの修正対応について詳述されている。
Ollama Vulnerabilities Let Attackers Execute Arbitrary Code via Malicious Model Files(外部)
悪意あるGGUFファイル解析による攻撃手法を解説。RCEに至るフローと、ユーザーが直面する具体的なリスクの大きさに焦点を当てている。
GGML GGUF File Format Vulnerabilities(外部)
GGUFファイル形式そのもののリスク構造を解説。ファイルパーサーの脆弱性がなぜ発生しやすいのか、その技術的背景を理解できる。
【編集部後記】
AIを「自分の手元」で動かす。そのワクワク感は、何にも代えがたいものですよね。私もOllamaで新しいモデルを試すたび、未来に触れている実感を覚えます。
でも、今回の脆弱性は「信頼」について考えさせられる出来事でした。「便利だから」とダウンロードしたそのファイル、本当に安全でしょうか?
ぜひ一度、お手元の環境をご確認ください。そして、新しいモデルを試す際は「誰が作ったファイルか?」という視点を一つ加えてみてください。それだけで、あなたのAIライフはもっと自由で、安全なものになるはずです。
