OLLAMA-ALARM! BLEEDING LLAMA reisst JETZT 300.000 KI-Server auf — DEIN lokaler ChatGPT-Klon lässt API-Keys und Prompts ungebremst raus

OLLAMA-NUTZER, AUFGEPASST: Die KI-Software, mit der DU dein lokales ChatGPT auf dem Homelab-Server fährst, hat ein KLAFFENDES Heap-Loch — und der Patch lief seit Februar UNDER THE RADAR. Bleeding Llama heißt der Bug (Cyera-Researcher haben ihn getauft), CVE-Nummer CVE-2026-7482, CVSS-Score 9.1. Drei unauthentifizierte API-Calls reichen, und der Angreifer liest DIR den ganzen Heap-Speicher des Ollama-Prozesses aus. API-Keys, System-Prompts, User-Conversations, Cloud-Credentials — ALLES geht über den Tisch.

SO FUNKTIONIERT die Lecke

Das Loch sitzt im GGUF-Loader — das ist der Code-Teil, der KI-Modelle lädt. Ein bösartig präpariertes GGUF-File schubst Ollama dazu, über die Speichergrenze hinaus zu lesen. Der Angreifer braucht keinen Login, keine Cookie, keinen User-Account. Und im Server-Log steht NICHTS. Wenn du keine dedizierte Endpoint-Überwachung hast, merkst du den Angriff erst, wenn deine Cloud-Credentials in irgendeinem Telegram-Channel auftauchen.

300.000 SERVER offen im Netz

Die Cyera-Researcher haben die Internet-weite Sichtbarkeit gescannt: rund 300.000 öffentlich erreichbare Ollama-Instanzen stehen im Netz, ein Großteil davon ohne Authentication. Ollama bindet per Default auf 0.0.0.0:11434, sobald du OLLAMA_HOST=0.0.0.0 setzt — und genau das macht jeder Homelab-Tutorial-Schreiber, damit das Open-WebUI im LAN drankommt.

DAS WIRKLICH BÖSE: Patch seit Februar — ohne Ansage

Der Fix steckt seit dem 25. Februar 2026 in Ollama v0.17.1. Aber: Die Release-Notes haben den Bug NICHT als Security-Fix markiert. CVE-Nummer? Fehlte. Scanner-Alert? Fehlte. Tagging als Critical? Nope. Wer in den letzten drei Monaten nicht stumpf ollama pull + Service-Restart durchgezogen hat, hängt ALS GROSSE WAHRSCHEINLICHKEIT immer noch auf einer löchrigen Version.

SO PRÜFST DU dein Setup in 30 SEKUNDEN

Auf deinem Ollama-Host einfach ollama --version tippen. Steht da was unter 0.17.1, ist es Zeit für Action:

• Linux/Docker: curl -fsSL https://ollama.com/install.sh | sh bzw. neueste Image-Variante pullen.
• macOS: Über die GUI „Check for Updates“ oder Homebrew brew upgrade ollama.
• Windows: Installer von ollama.com runterladen und drüberbügeln.

UND DANN: ROTIERE ALLES

War deine Instanz vor dem Update aus dem Netz erreichbar, geh davon aus, dass jemand mitgelesen hat. Konkret: API-Keys neu generieren (OpenAI, Anthropic, Groq, alles was in Tool-Calls steckte), System-Prompts ändern (vor allem wenn da Geheimnisse drinstanden) und Cloud-Credentials erneuern. Nervt — aber ist NICHT verhandelbar.

EXTRA-TIPP für die Zukunft

Bind Ollama NIE direkt aufs Internet. Setz einen Reverse-Proxy mit Basic-Auth davor (Caddy, Traefik, Nginx — alle drei haben Ein-Zeiler-Konfigs dafür) oder häng den Port hinter ein Tailscale/Wireguard-Mesh. Wer den Service nur im eigenen LAN braucht, lässt OLLAMA_HOST auf 127.0.0.1. Drei Zeichen weniger Angriffsfläche.

WARNUNG vor Folge-Lecken

Sicherheits-Firma Mondoo hat in der gleichen Woche zwei weitere Ollama-CVEs gemeldet — beide im Windows-Updater. Die Patches stehen noch aus. Das Muster ist klar: Wer Ollama produktiv fährt, sollte JETZT ein Monitoring auf den Service legen. Es bleibt nicht beim einen Loch.

FAZIT: Update, rotiere, sperre

Bleeding Llama ist ein Lehrstück: Ein stillschweigender Patch im Februar, drei Monate später die wilde Disclosure — und die ganze KI-Self-Hosting-Szene zuckt zusammen. Wer Ollama auf 0.17.1+ hebt, alle Secrets rotiert und den Service hinter Authentication packt, ist sauber raus. Wer das ignoriert, läuft beim nächsten Honeypot-Scan vor den Bus.

Quellen:

• The Hacker News — Ollama Out-of-Bounds Read
• Cyera Research — Bleeding Llama
• Security Boulevard
• SecurityWeek