Bleeding Llama: cuando un modelo de lenguaje filtra tus datos personales
Ya no hace falta ni una contraseña para robar secretos ajenos.
Ollama, una herramienta popular para ejecutar modelos de IA de forma local, se ha visto en el centro de dos incidentes de seguridad. Una de las vulnerabilidades detectadas puede revelar el contenido de la memoria del servidor. Además, otro conjunto de fallos afecta al cliente para Windows y permite la ejecución oculta de código cuando un usuario inicia sesión.
Los detalles de la vulnerabilidad crítica identificada como CVE-2026-7482 fueron descritos primero por los especialistas de Cyera. El problema obtuvo una puntuación de 9,1 en la escala CVSS y recibió el nombre Bleeding Llama. Según los autores del informe, más de 300.000 servidores en todo el mundo podrían verse afectados.
El error está relacionado con el cargador de modelos en formato GGUF. En las versiones vulnerables hasta la 0.17.1, el servidor podía leer datos fuera del área de memoria asignada al procesar un archivo especialmente manipulado. El atacante no necesita una cuenta si Ollama está accesible desde la red. Basta con enviar un archivo GGUF malicioso a través de la API y solicitar la creación del modelo mediante /api/create.
Si el ataque tiene éxito, variables de entorno, claves de API, avisos del sistema, fragmentos de conversaciones de otros usuarios y otros datos sensibles pueden filtrarse desde la memoria del proceso. Después, la información robada puede extraerse mediante /api/push, subiendo el artefacto del modelo creado a un registro controlado por el atacante.
El representante de Cyera, Dor Attias, advirtió que el riesgo aumenta cuando los ingenieros conectan Ollama a herramientas como Claude Code. En ese escenario, por el servidor circulan los resultados de herramientas vinculadas, incluido código potencialmente privado, documentos internos y datos de servicio.
Se recomienda a los usuarios actualizar Ollama, cerrar el acceso público a las instancias, comprobar si los servidores son accesibles desde internet, colocar el servicio tras un cortafuegos y poner un proxy con autenticación delante de la API, ya que la API REST de Ollama por defecto no requiere autenticación.
Paralelamente, el equipo de Striga describió dos problemas sin resolver en el mecanismo de actualización de Ollama para Windows. CVE-2026-42248 está relacionado con la ausencia de verificación de la firma de la actualización, y CVE-2026-42249 — con la omisión de comprobaciones de ruta al procesar encabezados HTTP. Combinadas, las fallas permiten escribir un archivo ejecutable en la carpeta de inicio de Windows y ejecutarlo en cada inicio de sesión del usuario.
El cofundador de Striga, Bartlomiej Dmitruk, informó que son vulnerables las versiones de Ollama para Windows desde la 0.12.10 hasta la 0.22.0. Hasta que se publique una corrección, se aconseja a los usuarios desactivar las actualizaciones automáticas y eliminar el acceso directo de Ollama de la carpeta Startup para evitar el inicio oculto al iniciar sesión.