Cualquier sitio ahora puede leer tus conversaciones con la IA. Sin que hagas ni un solo clic.

Una vulnerabilidad en la popular herramienta para ejecutar modelos de IA Ollama abría la puerta a ataques 'drive-by', permitiendo a atacantes, a través de un sitio especialmente preparado, interferir sin ser detectados en el funcionamiento de la aplicación local, leer conversaciones privadas e incluso sustituir los modelos usados, incluyendo la carga de versiones infectadas.

El fallo de seguridad fue detectado y divulgado el 31 de julio por Chris Moberly, gerente sénior de seguridad de GitLab. La vulnerabilidad afectaba a Ollama Desktop v0.10.0 y se debía a una implementación incorrecta de los controles CORS en el servicio web local que gestiona la interfaz gráfica. Como resultado, JavaScript en una página maliciosa podía escanear el rango de puertos del equipo de la víctima (de 40000 a 65535), localizar el puerto aleatorio que usa la interfaz de Ollama y enviar una falsa petición POST 'sencilla', cambiando la configuración y redirigiendo el tráfico al servidor del atacante.

Tras la modificación de la configuración, el atacante podía interceptar todas las peticiones locales, leer las conversaciones y modificar las respuestas de la IA en tiempo real. El usuario veía simplemente un sitio normal, y el ataque se producía sin ningún clic ni acción por su parte. Además, los atacantes podían establecer sus propios prompts del sistema o conectar modelos 'envenenados', controlando por completo el funcionamiento de la aplicación.

Moberly señaló que explotar la vulnerabilidad «en condiciones reales habría sido trivial», y subrayó que incluso la preparación de la infraestructura del ataque podría haberse automatizado con ayuda de LLM. Por suerte, el equipo de Ollama reaccionó con rapidez: una hora y media tras la notificación reconocieron el problema y, una hora después, publicaron la versión v0.10.1 que corrige el fallo. Para los usuarios que instalaron Ollama con los instaladores oficiales bastaba reiniciar la aplicación para que la actualización automática se aplicara; quienes la instalaron vía Homebrew deben actualizar manualmente.

Código PoC y la descripción técnica del ataque fueron publicados por Moberly en GitLab. No hay datos de que la vulnerabilidad haya sido explotada por atacantes, pero el investigador aconseja a todos los usuarios de Ollama que comprueben urgentemente si cuentan con el parche.

El propio proyecto Ollama está diseñado para ejecutar localmente modelos LLM en equipos con macOS y Windows. La vulnerabilidad no afectó al API base de Ollama y se limitó exclusivamente a la nueva interfaz gráfica, que había estado disponible solo unas semanas antes del descubrimiento del fallo. Aún no se ha asignado un identificador CVE al problema.