GGUF形式なら安全ですか？

いいえ。GGUFは推論の前にパースされるため、パーサの脆弱性（例: CVE-2026-33298）で細工ファイルが任意コード実行（RCE）に繋がりえます。形式だけで安全とは言えません。

safetensorsとpickle（.bin）の違いは？

pickleはロード時に任意のPythonコードを実行しうる形式で、マルウェアの主な経路です。safetensorsは重みのみで実行コードを含まず安全性が高いので、可能ならsafetensorsを優先します。

Ollama公式Libraryから落とせば安全ですか？

野良配布よりは安全ですが、ツール自体の脆弱性（CVE-2026-7482など）もあるため、Ollamaは最新版・外部非公開で使うのが前提です。

非検閲（uncensored）モデルは危険ですか？

モデルの出力傾向とは別に、非検閲モデルは個人アップローダの野良配布から入手されがちで、サプライチェーン汚染の標的になりやすい点に注意が必要です。出所確認とスキャンが必須です。

スキャンツールを通せば完全に安全ですか？

過信は禁物です。スキャナを回避する手口（nullifAI など）もあるため、出所確認・safetensors優先・隔離環境での初回ロードを併用してください。

「GGUFだから安全」は誤解【ローカルAIモデルのマルウェア対策】

「ローカルAIのモデルファイルは、ただのデータだから安全」——これは危険な誤解です。2026年、ローカルAIの実行スタック（llama.cpp・Ollama・LM Studio）に任意コード実行（RCE）や情報漏洩のCVEが相次ぎ、Hugging Faceでは偽モデルがマルウェアを配布する事件が起きています。この記事は、何が危険で、どうすれば安全にモデルを入手・実行できるかを、煽らず正直に整理します（有害な手口そのものは扱いません）。

結論（先に要点）

「GGUFだからコードは動かない＝安全」は誤り。GGUFは推論前にパースされるため、パーサの脆弱性で細工ファイルがRCEに繋がりえます。
pickle形式（.bin / .pt）はロード時に任意コードを実行しうる。safetensors を優先するのが基本。
野良の非検閲モデルはサプライチェーン汚染の標的になりやすい。出所確認とスキャンが必須。
Ollamaを外部公開しているなら今すぐ確認（後述のCVE-2026-7482）。
最後の安全な入手チェックリストを実践すれば、リスクは大きく下げられます。

「GGUFだから安全」が壊れた（2026年の実際の脆弱性）

GGUFは表現力のあるバイナリ形式で、信頼を判断する前にパースされます。画像や書庫形式と同じく、パーサの脆弱性が出続ける構造です。

ことばの説明（むずかしい用語をやさしく）

パース（解析） … プログラムがファイルの中身を読み取って「構造」を理解する処理。

ロード（読み込み）／デシリアライズ … 保存されたデータを、プログラムが使える形に復元する処理。

パーサ … その読み取りを担うプログラムの部品。

ポイントは、これらが**「中身を信用してよいか判断するより“前”」に動く**こと。つまり、あなたが「使おう（推論しよう）」と思うより前に、ファイルの中身はもう処理されています。だから悪意あるファイルは、使う前に被害を起こせるのです。

「使う前」にもう処理は走っている — 危険なのはパース段階

① モデルをDL

GGUF / pickle など

⚠ ② ツールがパース/ロード

信頼を判断する“前”に実行。ここで脆弱性・任意コード実行

③ 推論で利用

ここに来る前に被害が出うる

「使う（推論）」より前の②パース段階が危険。だから形式やツールだけで「安全」とは言えません。

2026年に公開された主な脆弱性を挙げます（いずれも二次報道ベース・最新はNVDや公式アドバイザリで要確認）。

脆弱性	内容	影響範囲
CVE-2026-33298	llama.cppの整数オーバーフロー→ヒープ溢れ→RCEの可能性。細工GGUFが引き金	Ollama・LM Studioを含む全llama.cppベース
CVE-2026-7482（Bleeding Llama）	OllamaのGGUFローダの境界外読み取り。認証なしで`/api/create`に細工GGUF→APIキー・環境変数・会話が漏洩	Ollama（約30万台が露出と報告）
CVE-2026-5757	Ollamaの量子化エンジンの情報漏洩。ヒープメモリを外部に持ち出し可	Ollama

根拠: SentinelOne（CVE-2026-33298）／ The Hacker News（Bleeding Llama）／ TechTimes（GGUFパーサ）（要検証）。

pickleとsafetensors：ここが分かれ目

機械学習モデルの保存形式には2系統あります。形式ごとの安全度はこちら。

形式別の安全度（早見）

形式	ロード時のコード実行	推奨度
safetensors重み（数値）のみ。実行コードを含まない設計	なし	◎ 最優先
GGUF (.gguf)※パーサ脆弱性のリスク。ツールを最新版に保つ前提	なし ※	○ 条件付き
pickle (.bin / .pt / .ckpt)ロード時に任意のコードを実行しうる＝マルウェア主経路	あり	× 避ける

pickle系（.bin / .pt / .ckpt）: Pythonの標準的な保存形式だが、ロード（デシリアライズ）時に任意のコードを実行できてしまう。これがマルウェアの主経路です。さらに 「nullifAI」 という手口では、pickleを7zで圧縮してHugging Faceのスキャナ（PickleScan）を回避します。
safetensors: 重み（数値）だけを格納し実行コードを含まない設計。可能なら必ずこちらを優先します。

根拠: Hive Security（nullifAI / 供給網攻撃）（要検証）。

サプライチェーン汚染の実例（2026年）

「公式そっくりの偽モデル」が現実に出回っています。

2026年5月7日、Hugging Faceに OpenAIの正規リリースを装った偽リポジトリ が出現し、18時間で約24.4万ダウンロード・トレンド1位に。学習フレームワーク InstructLab が trust_remote_code=True をハードコードしていたため、モデルを読み込むだけでRCEに至りました。
セキュリティ企業 Protect AI はHugging Faceの 400万超のモデルを走査し、約5.17万モデル・35.2万件の不審/危険な問題を検出。リバースシェルや認証情報窃取を行うモデルも確認されています。

根拠: CSO Online（偽OpenAIモデル）／ ReversingLabs（要検証）。

非検閲モデルの「二重リスク」を分けて考える

検閲のない（uncensored）モデルを試す人は増えていますが、リスクは2種類あり、混同しないことが大切です。

非検閲モデルの「二重リスク」（混同しない）

① 出力リスク

モデルが何を出力しうるか（倫理・法令）。当サイトは有害出力そのものは扱いません。

② バイナリリスク（マルウェア）

ファイル自体が悪意を持つか。野良配布が標的。出所・形式・スキャンで“測れる/確認できる”。

出力リスク: モデルが何を出力しうるか（倫理・法令の問題）。日本では、わいせつ・名誉毀損などに該当する出力は扱わない前提で。
バイナリリスク: モデルファイルそのものがマルウェアでないか。非検閲モデルは公式でない個人アップローダの野良配布から入手されがちで、ここが②の標的になります。

当サイトは①の有害出力そのものは扱いません。**②のバイナリ安全性は「測れる・確認できる」**ので、出所・形式・スキャン結果で正直に判断するのが、媒体としても読者としても誠実な姿勢です。

安全なモデル入手チェックリスト

安全なモデル入手チェックリスト（1枚）

safetensors形式を優先するpickle系（.bin / .pt）はロード時に任意のPythonコードを実行しうる。safetensorsは重みだけで実行コードを含まず安全性が高い。
trust_remote_code=True を避けるモデル付属のコードを実行する設定で、ネットの任意バイナリ実行と同義。既定の False のまま使う（実際にこの設定がRCEに繋がった例あり）。
出所（アップローダ）を確認する公式・実績ある配布元か。野良の非検閲モデルは特に要警戒。Ollama公式Library／著名な配布元を優先する。
読む前にスキャンする（ただし過信しない）ProtectAI/PickleScan等で事前チェック。ただし 7z 圧縮でスキャナを回避する手口（nullifAI）もあるため、これだけに頼らない。
Ollamaは最新版＋ファイアウォール内外部公開しない。OLLAMA_HOST=0.0.0.0 は避け、最新版へ更新。/api/create・/api/push は遮断、必要なら認証プロキシを前段に。
不明なモデルは隔離環境で初回ロード新規・出所不明のモデルはサンドボックス/VMで試す。APIキーや機密のある本番環境でいきなり読み込まない。

※ 完全な安全を保証する手順はありません。多層で守るのが要点（経験則・要検証）。CVE等の最新情報はNVD・各ツールの公式アドバイザリで確認を。

Ollamaを外部公開している人へ

OLLAMA_HOST=0.0.0.0 でAPIを外部に開けている構成は、CVE-2026-7482（Bleeding Llama）の直撃を受けえます。OllamaのREST APIは既定で認証がなく、約30万台がネット露出と報告されています。次を今すぐ確認してください。

Ollamaを修正版に更新する（古い版のGGUFローダが対象）。
/api/create・/api/push を遮断（nginx等の前段で）、もしくは認証プロキシ/APIゲートウェイを置く。
ファイアウォールで社内/VPNに限定し、不要な外部公開をやめる。

根拠: SecurityWeek（約30万台露出）／ runZero（影響資産の特定）（要検証）。

よくある質問

GGUF形式なら安全ですか？: いいえ。GGUFは推論の前にパースされるため、パーサの脆弱性（例: CVE-2026-33298）で細工ファイルが任意コード実行（RCE）に繋がりえます。形式だけで安全とは言えません。
safetensorsとpickle（.bin）の違いは？: pickleはロード時に任意のPythonコードを実行しうる形式で、マルウェアの主な経路です。safetensorsは重みのみで実行コードを含まず安全性が高いので、可能ならsafetensorsを優先します。
Ollama公式Libraryから落とせば安全ですか？: 野良配布よりは安全ですが、ツール自体の脆弱性（CVE-2026-7482など）もあるため、Ollamaは最新版・外部非公開で使うのが前提です。
非検閲（uncensored）モデルは危険ですか？: モデルの出力傾向とは別に、非検閲モデルは個人アップローダの野良配布から入手されがちで、サプライチェーン汚染の標的になりやすい点に注意が必要です。出所確認とスキャンが必須です。
スキャンツールを通せば完全に安全ですか？: 過信は禁物です。スキャナを回避する手口（nullifAI など）もあるため、出所確認・safetensors優先・隔離環境での初回ロードを併用してください。

まとめ

形式・ツールだけで「安全」と判断しない。GGUFもOllamaも2026年に脆弱性が出ています。
safetensors優先・trust_remote_codeは使わない・出所確認・スキャン・隔離ロードの多層で守る。
Ollamaは最新版＋外部非公開。公開しているなら記事を読む前にまず対処を。

安全に入手できたら、手元で動くかは動くか診断、機材×モデルの実測は検証DB、始め方はおすすめサイト・ツールで確認できます。**「動くか」の前に「安全か」**を、まず1分のチェックリストから。