摘要：Ollama 是一个开源的本地大语言模型（LLM）运行框架，专注于让用户能够便捷地在本地计算机上部署和运行各种AI模型（如 Llama 3、DeepSeek、Gemma、Phi-3 等）。它类似于 Docker for AI，提供轻量化的模型管理、运行和交互方

Ollama 是一个开源的本地大语言模型（LLM）运行框架，专注于让用户能够便捷地在本地计算机上部署和运行各种AI模型（如 Llama 3、DeepSeek、Gemma、Phi-3 等）。它类似于 Docker for AI，提供轻量化的模型管理、运行和交互方式。

随着DeepSeek大模型的爆火，很多人跟着网上教程开始自己搭建训练本地大模型。如果默认部署，有ollama接口未授权漏洞。这个漏洞，可以让我们白嫖很多大模型，这样你不需要本机傻乎乎的去加显卡了，你本机显存小也不用委屈巴巴了。

如何使用呢？fofa.info语法直接搜索：body="Ollama is running"，会有大量结果，基本每个都有未授权漏洞。

我们随便找一个网站，直接浏览器打开https://ip:port/api/tags就可以了。也可以curl https://ip:port/api/tags。

像在上图，你可以清楚的看到对方装的模型是deepseek-r1:latest。如何利用呢？我用本机给你演示一下。本机装好cherry studio，点左下角的设置图标，点中间栏的ollma，右侧写入url地址，再点添加，添加模型的名字就可以了。像我们在上张图中看到，我们已得到模型名字了。

添加完后点检测，如果幸运的对方没有做任何防护的话，你就可以免费使用它的大模型了（100个能有1、2个成功的）。直接使用别人的大模型，这个对对方几乎没有任何危害。这个未授权还有其它的利用方法，有危害的我就不写了。不过我还得提示你一下，出了问题本人不负责。

如何检测我们本地大模型部署的漏洞呢，有款工具可以直接用，就是ai-infra-guard。它是腾讯朱雀实验室推出的一款全面、智能、易用且轻量化的AI基础设施漏洞发现与MCP Server安全风险扫描工具。下载地址：https://github.com/Tencent/AI-Infra-Guard。

快去检测一下，不要让别人白嫖你的显卡算力呀。

来源：海阳顶端