本文揭示了Ollama本地部署大模型存在的安全风险，尤其是在与DeepSeek结合使用时。由于用户安全意识不足和操作疏忽，未授权的攻击者可能远程访问Ollama服务接口，导致私人服务器被“白嫖”，甚至面临数据投毒、参数窃取等风险。文章通过实际案例演示了如何轻松获取暴露在公网环境中的Ollama服务器信息，并成功利用其计算资源。强调用户在部署Ollama时务必注意安全配置，避免因端口暴露和鉴权机制缺失而遭受损失。

⚠️Ollama是一个开源、跨平台的本地大模型部署和管理工具，因其简便性而流行，但国家网络安全通报中心指出其存在高危安全漏洞，可能导致未授权远程访问。

💻默认情况下，Ollama仅允许本地回环地址（127.0.0.1）访问，但用户常因操作疏忽或教程误导，将访问地址改为0.0.0.0，从而暴露服务端口，使公网用户可未经授权访问DeepSeek等模型。

🔍通过网络设备搜索，可以轻松找到大量暴露在公网且运行Ollama的设备，其中运行DeepSeek-R1的服务器数量增长迅速，且中国地区的设备数量居首。

🛡️用户安全意识薄弱和教程侧重快速部署而忽视安全配置是主要原因。建议用户在部署Ollama时，务必加强安全意识，严谨配置，避免数据泄露和算力盗用等风险。

原创 zJz 2025-03-06 19:03 北京

DeepSeek 的火爆，催生出了大量本地部署 DeepSeek 的需求和业务。

比如你在淘宝上搜“DeepSeek 部署”，有大量关键词“DeepSeek 远程部署 搭建知识库 本地部署”等等，已然发展了一套非常成熟、流程化的业务。

除了“DeepSeek R1”外，还有一个经常和它一起词叫做 ——

ollama

这是个什么东西呢？它是一个开源的、跨平台的、大模型工具，主要用于本地部署和管理大型语言模型（LLM），当然就包括部署 Deepseek!

对于之前没搞过私有化部署的小伙伴，可能有点陌生。但是现在因为 Deepseek，它也火了起来。

就是下面这个东西——

Ollama 的最大特点是使用简便， 可以网络访问，同时支持多种模型，比如支持 Llama 2、Mistral、Falcon 等在内的多种开源模型，因此它出现在各类大模型部署的教程之中。

最近，Ollama 成了主角，被国家网络安全通报中心通报：存在安全风险。

漏洞定级为“高危”。

看通报文件的内容，风险在于“未授权的攻击者可以远程访问 Ollama 服务接口”。简单的说就是：

你的私人 Ollama 服务器正在被人“白嫖”。

这一切是如何发生的呢？

Ollama 在本地部署时会默认启动一个 Web 服务，处理网络上发过来的请求。

Web 服务一般就是通过IP 地址和端口进行定位的。理论上只要知道了这个服务的 IP 地址和端口号， 就可以向它做很多事。

当然，一般情况下就是白嫖使用你的服务呗，二般情况下就是干坏事儿了。比如：

数据投毒：篡改模型训练数据

参数窃取：盗取模型核心参数

恶意文件上传：注入有害代码或删除关键组件，导致服务崩溃

按照 Ollama 的官方说明， Ollama 的默认接受的访问 IP 地址是 127.0.0.1 。

这是一个特殊的 IP 地址，术语叫做本地回环地址，也就是只有运行 Ollama 程序的这台电脑才能访问这个服务。 就相当于关闭了网络服务。

既然没有了网络服务， 那也就不存在别人通过网络“白嫖" DeepSeek 的可能性。

目前一切都没有问题，那问题出在了哪里？

我看了很多部署 DeepSeek 的教程后，除了本身 Ollama 框架存在多个已知漏洞。我还找到了一个最大的可能， 就是用户偷懒、操作疏忽。

先看两篇感受一下：

上面的问题在于它将默认接受的访问地址从 127.0.0.1 改成了 0.0.0.0, 而 0.0.0.0 也是一个特殊的 IP 地址，表明不管是谁都能访问。

这个问题可就大了，别人只要知道了 Ollama 的 IP 地址和端口，就可以无限制的让 DeepSeek 回答问题。

开放 11434 端口，如果不设置任何身份验证机制，攻击者不需要认证即可直接访问模型服务，甚至通过恶意指令删除模型文件或窃取数据。

大家可能会认为找到一台 运行 Ollama 并同时开启远程访问的 电脑 IP 地址和端口难度挺大，我这里直接给大家实际演示，看看做到这一切是多么轻松。

第一步： 获取运行 Ollama 和开启远程访问的电脑信息。

首先我们先来到一个专门搜索网络设备的网站。

（敏感信息已经隐藏)

可以看到，通过特定的关键字搜索，轻轻松松就找到了来自于世界各地的 23650 个符合要求的设备。  多数用户未修改默认配置，导致服务直接暴露在公网环境中。

监测数据显示，近 89% 的 Ollama 服务器处于“裸奔”状态，其中运行 DeepSeek-R1 的服务器数量增长最快，而且来自中国的设备数量排到了第一（竟然 10000 个之多 ?）。

上面的 35.2xx.xxx.79:888 和 135.xxx.xxx.168:11434 就是我们需要的 IP 地址和端口。

第二步：直接向目标设备发送请求。

现在我们测试获取到的 IP 地址和端口能不能用。

这里我采用 Chatbox 这个工具，这个工具可以理解大模型的前端，也就是你输入问题，获得回答的用户界面。

根据上图的提示，在 3 号中填入扫描到的 IP 地址和端口(这里选择了一个位于北京的机器)。 4 号会自动跳出这台机器上运行的模型， 可以看到是 DeepSeek-R1: 70b 的蒸馏版模型。能运行这个模型的设备也是价值不菲。

问一个问题，成功的获得了答案。

这样，我就成功的 白嫖 到了一台高性能的电脑。

经过我的测试，这些被扫描出来的 IP 地址成功率相当高。

被别人用计算资源还是小事， 更危险的操作是可以通过代码直接删除这些计算机上的模型。

想象一下，你千辛万苦训练出的模型、或者花了十几个小时下载下来的模型被人给删掉， 那损失是多么惨重。

所以，如果你用 Ollama， 可要千万注意。

写在最后

也许会有人说，中国很难有公网 IP， 这是用户的配置问题。

对，都没错。

但如果你的设备是在云服务器上呢？ 毕竟我实测就检测出了这么多可用的设备。

这次 Ollama 的问题本质上不是 Ollama 的问题，但国家网络安全通报中心把它列为高危险等级， 揭示了两个关键问题：用户安全意识不足、操作疏忽。

一方面，大量用户直接照抄网络教程，反映出对端口暴露、鉴权机制缺失等基础安全概念的认知薄弱。

另一方面，网络教程往往侧重“快速部署”而忽视安全配置，例如未明确提示关闭高危接口、未指导防火墙规则设置等，导致用户暴露于数据泄露、算力盗用等风险中。

最后，可以照搬教程，但也请严谨点。

阅读原文

跳转微信打开