一、漏洞详情

llama.cpp 是一款由GGML社区开发的高性能C/C++大语言模型推理引擎，支持LLaMA、Falcon、Mistral等数十种主流开源LLM的

本地与分布式部署。

近日，监测到官方修复llama.cpp 远程代码执行漏洞（CVE-2026-34159），该漏洞源于RPC后端的deserialize_tensor()函数，

在处理GRAPH_COMPUTE消息时，当tensor的buffer字段为0时会完全跳过所有边界和有效性验证，导致攻击者可直接控制

result->data指针。攻击者可结合ALLOC_BUFFER和BUFFER_GET_BASE消息实现指针泄露，绕过ASLR，最终通过构造 

GRAPH_COMPUTE 消息实现任意内存读写，并通过函数指针劫持（如覆盖iface.clear为system()）达成远程代码执行。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

llama.cpp < b8492

三、修复建议

官方已发布安全补丁，请及时更新至最新版本：

llama.cpp >= b8492