<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/"><channel><title>Gguf on Tarragon</title><link>https://tarrragon.github.io/blog/tags/gguf/</link><description>Recent content in Gguf on Tarragon</description><generator>Hugo -- gohugo.io</generator><language>zh-TW</language><copyright>Tarragon (CC BY 4.0)</copyright><lastBuildDate>Tue, 12 May 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://tarrragon.github.io/blog/tags/gguf/index.xml" rel="self" type="application/rss+xml"/><item><title>6.0 模型供應鏈與信任邊界</title><link>https://tarrragon.github.io/blog/llm/06-security/model-supply-chain-trust/</link><pubDate>Tue, 12 May 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/llm/06-security/model-supply-chain-trust/</guid><description>&lt;p>&lt;a href="https://tarrragon.github.io/blog/llm/knowledge-cards/model-supply-chain-trust/" data-link-title="Model Supply-Chain Trust" data-link-desc="判斷模型權重、量化版本、registry 與本機檔案是否可信的供應鏈信任框架">模型供應鏈信任&lt;/a> 從本地 LLM 的最上游開始：模型權重本身就是第一個信任邊界。本章把「該不該裝這個模型」「裝下來的檔案有沒有被動過」「ollama pull / hf download 拉到的是不是作者發布的版本」這類問題、整理成可操作的判讀。判讀的主要資訊來源是 &lt;a href="https://tarrragon.github.io/blog/llm/knowledge-cards/model-card/" data-link-title="Model Card" data-link-desc="Hugging Face 等平台上模型的 metadata 文件、列出模型來源、訓練資料、能力、限制、授權">model card&lt;/a>；通用 artifact 信任機制見 backend &lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/artifact-provenance/" data-link-title="Artifact Provenance" data-link-desc="說明交付物的來源、完整性與簽章關聯如何建立信任">artifact-provenance&lt;/a> 卡片。本章 framing 是個人 dev 視角；production 部署的模型供應鏈見 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/llm-deployment-supply-chain/" data-link-title="LLM Deployment 供應鏈完整性" data-link-desc="把 LLM 模型權重、推論伺服器、第三方 plugin 三條 production 供應鏈納入既有 artifact trust 框架的判讀">backend/07 LLM Deployment 供應鏈&lt;/a>。&lt;/p>
&lt;p>讀完本章後、你應該能對自己用的模型回答：來源是不是作者本人 / 官方鏡像、檔案完整性怎麼驗、量化版本是不是社群常用的、第三方再上傳的版本該不該用。&lt;/p>
&lt;h2 id="本章目標">本章目標&lt;/h2>
&lt;ol>
&lt;li>認識本地 LLM 模型供應鏈的角色：原始作者 → 官方 release → 第三方量化 → registry 散發。&lt;/li>
&lt;li>知道個人 dev 場景的信任邊界跟驗證手段。&lt;/li>
&lt;li>區分「官方版本」、「社群熱門量化」、「個人上傳」三種來源的信任等級。&lt;/li>
&lt;li>用 GGUF 檔案完整性檢查（hash、檔案大小、metadata）建立基本驗證流程。&lt;/li>
&lt;li>認識 Ollama / Hugging Face / LM Studio model browser 的供應鏈差異。&lt;/li>
&lt;/ol>
&lt;h2 id="本地-llm-模型供應鏈的角色鏈">本地 LLM 模型供應鏈的角色鏈&lt;/h2>





&lt;div class="highlight">&lt;pre tabindex="0" class="chroma">&lt;code class="language-text" data-lang="text">&lt;span class="line">&lt;span class="ln">1&lt;/span>&lt;span class="cl">原始作者（如 Meta、Google、Qwen 團隊）
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="ln">2&lt;/span>&lt;span class="cl"> ↓ 發布原始權重（safetensors / pt、通常 fp16 或 bf16）
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="ln">3&lt;/span>&lt;span class="cl">官方 Hugging Face organization
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="ln">4&lt;/span>&lt;span class="cl"> ↓ 第三方量化者（如 bartowski、TheBloke、unsloth）
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="ln">5&lt;/span>&lt;span class="cl">量化版本 GGUF（Q4_K_M、Q5_K_M 等）
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="ln">6&lt;/span>&lt;span class="cl"> ↓ Ollama 收進 registry 或社群上傳
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="ln">7&lt;/span>&lt;span class="cl">Ollama registry / LM Studio 內建瀏覽器
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="ln">8&lt;/span>&lt;span class="cl"> ↓ 使用者拉下來
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="ln">9&lt;/span>&lt;span class="cl">本機 GGUF 檔案&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/div>&lt;p>每一層都是潛在的信任邊界：&lt;/p>
&lt;ol>
&lt;li>&lt;strong>原始作者&lt;/strong>：信任假設是「作者發布的權重就是訓練出來的權重、沒被植入後門」。個人 dev 場景下、選主流作者（Meta、Google、Qwen、Mistral 等）的官方發布通常是合理起點。&lt;/li>
&lt;li>&lt;strong>量化者&lt;/strong>：把官方 fp16 權重壓成 Q4 / Q5 等 GGUF 格式的人。社群常見熱門量化者（如 bartowski、unsloth）有公開的量化腳本與長期信譽、但仍是個人或小團隊、不是企業簽章。&lt;/li>
&lt;li>&lt;strong>registry 散發&lt;/strong>：Ollama registry、HF Hub、LM Studio 內建瀏覽器是分發層。可能被搶 namespace、可能有人偽造「官方」名義上傳。&lt;/li>
&lt;li>&lt;strong>本機儲存&lt;/strong>：下載完的 GGUF 檔案在硬碟、後續執行時權重本身就是程式邏輯的一部分（透過 inference 影響輸出）。&lt;/li>
&lt;/ol>
&lt;blockquote>
&lt;p>&lt;strong>事實查核註&lt;/strong>：上面的角色鏈是 2026 年 5 月的常見運作模式。具體量化者、registry 政策、模型分發流程依平台變化、建議引用前以 Hugging Face、Ollama、LM Studio 各自的&lt;a href="https://huggingface.co/docs/hub/security">安全公告與 community guidelines&lt;/a> 為準。&lt;/p>&lt;/blockquote>
&lt;h2 id="三種來源的信任等級">三種來源的信任等級&lt;/h2>
&lt;p>個人 dev 場景下、常見的模型來源可以分成三個信任等級：&lt;/p>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>來源類型&lt;/th>
 &lt;th>例子&lt;/th>
 &lt;th>信任等級&lt;/th>
 &lt;th>建議的驗證動作&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>官方作者發布&lt;/td>
 &lt;td>&lt;code>meta-llama/Llama-3.3-70B-Instruct&lt;/code>（HF）&lt;/td>
 &lt;td>較高&lt;/td>
 &lt;td>確認 org 是 verified、看 model card 引用&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>知名社群量化者&lt;/td>
 &lt;td>&lt;code>bartowski/Qwen3-30B-A3B-GGUF&lt;/code>（HF）&lt;/td>
 &lt;td>中等&lt;/td>
 &lt;td>看量化者過往作品、確認量化腳本是否公開&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>個人上傳 / 不明來源&lt;/td>
 &lt;td>隨意搜尋到的個人 repo、論壇下載的 GGUF&lt;/td>
 &lt;td>較低&lt;/td>
 &lt;td>個人 dev 場景下建議避開、無法確認權重來源跟修改&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;p>「中等」跟「較高」的差別主要在「企業簽章」這個維度——Hugging Face verified organization 對應「該組織確實是 Meta / Google / Qwen 等主體」、但不對「該組織內部 release process 是否安全」做擔保。即使是官方發布、仍是「人類團隊發布的權重」、不是密碼學意義的零信任。&lt;/p></description><content:encoded><![CDATA[<p><a href="/blog/llm/knowledge-cards/model-supply-chain-trust/" data-link-title="Model Supply-Chain Trust" data-link-desc="判斷模型權重、量化版本、registry 與本機檔案是否可信的供應鏈信任框架">模型供應鏈信任</a> 從本地 LLM 的最上游開始：模型權重本身就是第一個信任邊界。本章把「該不該裝這個模型」「裝下來的檔案有沒有被動過」「ollama pull / hf download 拉到的是不是作者發布的版本」這類問題、整理成可操作的判讀。判讀的主要資訊來源是 <a href="/blog/llm/knowledge-cards/model-card/" data-link-title="Model Card" data-link-desc="Hugging Face 等平台上模型的 metadata 文件、列出模型來源、訓練資料、能力、限制、授權">model card</a>；通用 artifact 信任機制見 backend <a href="/blog/backend/knowledge-cards/artifact-provenance/" data-link-title="Artifact Provenance" data-link-desc="說明交付物的來源、完整性與簽章關聯如何建立信任">artifact-provenance</a> 卡片。本章 framing 是個人 dev 視角；production 部署的模型供應鏈見 <a href="/blog/backend/07-security-data-protection/llm-deployment-supply-chain/" data-link-title="LLM Deployment 供應鏈完整性" data-link-desc="把 LLM 模型權重、推論伺服器、第三方 plugin 三條 production 供應鏈納入既有 artifact trust 框架的判讀">backend/07 LLM Deployment 供應鏈</a>。</p>
<p>讀完本章後、你應該能對自己用的模型回答：來源是不是作者本人 / 官方鏡像、檔案完整性怎麼驗、量化版本是不是社群常用的、第三方再上傳的版本該不該用。</p>
<h2 id="本章目標">本章目標</h2>
<ol>
<li>認識本地 LLM 模型供應鏈的角色：原始作者 → 官方 release → 第三方量化 → registry 散發。</li>
<li>知道個人 dev 場景的信任邊界跟驗證手段。</li>
<li>區分「官方版本」、「社群熱門量化」、「個人上傳」三種來源的信任等級。</li>
<li>用 GGUF 檔案完整性檢查（hash、檔案大小、metadata）建立基本驗證流程。</li>
<li>認識 Ollama / Hugging Face / LM Studio model browser 的供應鏈差異。</li>
</ol>
<h2 id="本地-llm-模型供應鏈的角色鏈">本地 LLM 模型供應鏈的角色鏈</h2>





<div class="highlight"><pre tabindex="0" class="chroma"><code class="language-text" data-lang="text"><span class="line"><span class="ln">1</span><span class="cl">原始作者（如 Meta、Google、Qwen 團隊）
</span></span><span class="line"><span class="ln">2</span><span class="cl">  ↓ 發布原始權重（safetensors / pt、通常 fp16 或 bf16）
</span></span><span class="line"><span class="ln">3</span><span class="cl">官方 Hugging Face organization
</span></span><span class="line"><span class="ln">4</span><span class="cl">  ↓ 第三方量化者（如 bartowski、TheBloke、unsloth）
</span></span><span class="line"><span class="ln">5</span><span class="cl">量化版本 GGUF（Q4_K_M、Q5_K_M 等）
</span></span><span class="line"><span class="ln">6</span><span class="cl">  ↓ Ollama 收進 registry 或社群上傳
</span></span><span class="line"><span class="ln">7</span><span class="cl">Ollama registry / LM Studio 內建瀏覽器
</span></span><span class="line"><span class="ln">8</span><span class="cl">  ↓ 使用者拉下來
</span></span><span class="line"><span class="ln">9</span><span class="cl">本機 GGUF 檔案</span></span></code></pre></div><p>每一層都是潛在的信任邊界：</p>
<ol>
<li><strong>原始作者</strong>：信任假設是「作者發布的權重就是訓練出來的權重、沒被植入後門」。個人 dev 場景下、選主流作者（Meta、Google、Qwen、Mistral 等）的官方發布通常是合理起點。</li>
<li><strong>量化者</strong>：把官方 fp16 權重壓成 Q4 / Q5 等 GGUF 格式的人。社群常見熱門量化者（如 bartowski、unsloth）有公開的量化腳本與長期信譽、但仍是個人或小團隊、不是企業簽章。</li>
<li><strong>registry 散發</strong>：Ollama registry、HF Hub、LM Studio 內建瀏覽器是分發層。可能被搶 namespace、可能有人偽造「官方」名義上傳。</li>
<li><strong>本機儲存</strong>：下載完的 GGUF 檔案在硬碟、後續執行時權重本身就是程式邏輯的一部分（透過 inference 影響輸出）。</li>
</ol>
<blockquote>
<p><strong>事實查核註</strong>：上面的角色鏈是 2026 年 5 月的常見運作模式。具體量化者、registry 政策、模型分發流程依平台變化、建議引用前以 Hugging Face、Ollama、LM Studio 各自的<a href="https://huggingface.co/docs/hub/security">安全公告與 community guidelines</a> 為準。</p></blockquote>
<h2 id="三種來源的信任等級">三種來源的信任等級</h2>
<p>個人 dev 場景下、常見的模型來源可以分成三個信任等級：</p>
<table>
  <thead>
      <tr>
          <th>來源類型</th>
          <th>例子</th>
          <th>信任等級</th>
          <th>建議的驗證動作</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>官方作者發布</td>
          <td><code>meta-llama/Llama-3.3-70B-Instruct</code>（HF）</td>
          <td>較高</td>
          <td>確認 org 是 verified、看 model card 引用</td>
      </tr>
      <tr>
          <td>知名社群量化者</td>
          <td><code>bartowski/Qwen3-30B-A3B-GGUF</code>（HF）</td>
          <td>中等</td>
          <td>看量化者過往作品、確認量化腳本是否公開</td>
      </tr>
      <tr>
          <td>個人上傳 / 不明來源</td>
          <td>隨意搜尋到的個人 repo、論壇下載的 GGUF</td>
          <td>較低</td>
          <td>個人 dev 場景下建議避開、無法確認權重來源跟修改</td>
      </tr>
  </tbody>
</table>
<p>「中等」跟「較高」的差別主要在「企業簽章」這個維度——Hugging Face verified organization 對應「該組織確實是 Meta / Google / Qwen 等主體」、但不對「該組織內部 release process 是否安全」做擔保。即使是官方發布、仍是「人類團隊發布的權重」、不是密碼學意義的零信任。</p>
<h2 id="gguf-檔案完整性的基本檢查"><a href="/blog/llm/knowledge-cards/gguf/" data-link-title="GGUF" data-link-desc="llama.cpp 生態定義的模型權重格式：把權重、tokenizer、metadata 打包成單一檔案">GGUF</a> 檔案完整性的基本檢查</h2>
<p>下載完 GGUF 檔案後、可以做幾個輕量檢查確認檔案完整性：</p>





<div class="highlight"><pre tabindex="0" class="chroma"><code class="language-bash" data-lang="bash"><span class="line"><span class="ln"> 1</span><span class="cl"><span class="c1"># 1. 比對檔案 SHA-256（HF / Ollama 通常會列出官方 hash）</span>
</span></span><span class="line"><span class="ln"> 2</span><span class="cl">shasum -a <span class="m">256</span> ~/.ollama/models/blobs/sha256-xxx
</span></span><span class="line"><span class="ln"> 3</span><span class="cl"><span class="c1"># 或</span>
</span></span><span class="line"><span class="ln"> 4</span><span class="cl">sha256sum Qwen3-30B-A3B-Q4_K_M.gguf
</span></span><span class="line"><span class="ln"> 5</span><span class="cl">
</span></span><span class="line"><span class="ln"> 6</span><span class="cl"><span class="c1"># 2. 看檔案大小是否跟 model card 標示一致</span>
</span></span><span class="line"><span class="ln"> 7</span><span class="cl">ls -la Qwen3-30B-A3B-Q4_K_M.gguf
</span></span><span class="line"><span class="ln"> 8</span><span class="cl">
</span></span><span class="line"><span class="ln"> 9</span><span class="cl"><span class="c1"># 3. 用 llama.cpp 的工具看 GGUF metadata</span>
</span></span><span class="line"><span class="ln">10</span><span class="cl">./gguf-dump.py Qwen3-30B-A3B-Q4_K_M.gguf <span class="p">|</span> head -50
</span></span><span class="line"><span class="ln">11</span><span class="cl"><span class="c1"># 確認 architecture、context_length、量化等級跟預期一致</span></span></span></code></pre></div><p>這些檢查能擋住：</p>
<ol>
<li><strong>下載中斷導致檔案不完整</strong>：hash 不對、跑不起來、不是安全議題但會誤導判讀。</li>
<li><strong>CDN / 鏡像中間人替換</strong>：理論可能、實務上 Hugging Face 跟 Ollama 走 HTTPS、TLS 完整性是基礎防護；hash 比對是額外確認。</li>
<li><strong>誤拉到不同量化版本</strong>：例如想拉 Q4_K_M 結果拉到 Q4_0、檔案大小跟 metadata 會反映出來。</li>
</ol>
<p>擋不住：</p>
<ol>
<li><strong>量化者本身在量化過程做了手腳</strong>：hash 對得上、但權重已經被改過。這需要回到原始作者的權重重新量化、屬於進階驗證、個人 dev 場景通常不做。</li>
<li><strong>作者本身在發布的權重裡植入後門</strong>：個人 dev 場景的 threat model 假設主流作者不會做這件事；若不信任、不應該用該模型。</li>
</ol>
<blockquote>
<p><strong>事實查核註</strong>：GGUF 檔案的完整性檢查工具跟流程依 llama.cpp 版本變化、<code>gguf-dump.py</code> 等腳本路徑可能改名或棄用、以實際 llama.cpp release 跟 <a href="https://github.com/ggml-org/llama.cpp/blob/master/docs/development/gguf-llama-cpp.md">GGUF 規格</a> 為準。</p></blockquote>
<h2 id="ollama--hugging-face--lm-studio-的供應鏈差異">Ollama / Hugging Face / LM Studio 的供應鏈差異</h2>
<p>三個 registry 在實際拉模型的操作面（namespace、download 指令、本機儲存路徑）見對應安裝章節：<a href="/blog/llm/01-local-llm-services/ollama/" data-link-title="1.0 Ollama：主流推論伺服器" data-link-desc="一行 brew 裝完、ollama run 一鍵跑 Gemma 4 MTP、OpenAI 相容 API on localhost:11434">1.0 Ollama</a>、<a href="/blog/llm/01-local-llm-services/lm-studio/" data-link-title="1.1 LM Studio：GUI 探索模型" data-link-desc="GUI 取向的本地推論伺服器：內建模型瀏覽器、speculative decoding 設定面板、適合探索新模型">1.1 LM Studio</a>、PC 場景的 LM Studio 見 <a href="/blog/llm/05-discrete-gpu/lm-studio-on-windows/" data-link-title="5.4 LM Studio 在 Windows" data-link-desc="Windows &#43; 獨立 GPU 場景用 LM Studio：CUDA / ROCm backend 選擇、GUI 內對應 -ngl / cache-type / cpu-moe 的設定位置">5.4</a>。本節聚焦三者在供應鏈管理上的相對位置：</p>
<table>
  <thead>
      <tr>
          <th>Registry</th>
          <th>供應鏈管理風格</th>
          <th>個人 dev 視角的注意點</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Ollama registry</td>
          <td>Ollama 團隊維護 official model 列表、社群可上傳 namespace</td>
          <td><code>library/qwen3</code> 是 official、<code>user/qwen3</code> 是社群、命名前綴要看清</td>
      </tr>
      <tr>
          <td>Hugging Face Hub</td>
          <td>organization + verified badge 機制、社群上傳量大</td>
          <td>認 organization 是不是 verified、看 download 數量跟下載趨勢</td>
      </tr>
      <tr>
          <td>LM Studio 瀏覽器</td>
          <td>內建瀏覽器接到 Hugging Face、用 HF 的信任機制</td>
          <td>視同 Hugging Face、跟 HF 走同一信任鏈</td>
      </tr>
  </tbody>
</table>
<p>實務上、社群常見的選擇路徑：</p>
<ul>
<li>想拉 official 模型：優先 Hugging Face official organization、或 Ollama <code>library/</code> namespace</li>
<li>想拉熱門量化：bartowski / unsloth 等知名量化者的 HF repo、Ollama 通常也會把熱門模型收進 official library</li>
<li>看到個人 repo 上傳的「特別優化版」：除非有明確來源說明、否則保守看待</li>
</ul>
<h2 id="量化版本污染的可能性">量化版本污染的可能性</h2>
<p>量化版本污染的具體威脅形態：</p>
<ol>
<li><strong>量化腳本被改過</strong>：量化者公開的腳本跟實際跑的腳本不一致、產出的權重跟「按公開腳本量化」會不同。</li>
<li><strong>量化過程引入後門</strong>：在量化的同時微調權重、在特定 prompt 下觸發特定行為。技術上可行、實務上社群罕見公開案例、但無法事前完全排除。</li>
<li><strong>量化版本被替換上傳</strong>：先上傳乾淨版本累積下載量、再替換成有問題的版本。HF / Ollama 都有 file history、但個人 dev 通常不會檢查。</li>
</ol>
<p>個人 dev 場景的合理應對：</p>
<ol>
<li><strong>優先用知名量化者的版本</strong>：bartowski / unsloth 等有長期紀錄的量化者、相對個人首次上傳信任度較高。</li>
<li><strong>下載後立刻記錄 hash</strong>：作為日後比對基準；若日後同一 model name 但 hash 變了、值得查 history。</li>
<li><strong>大型 codebase 任務前先用簡單 prompt 試模型</strong>：例如「<code>fn main() { println!(&quot;hi&quot;); }</code>」這類；確認模型行為基本合理、再用於真實任務。</li>
</ol>
<h2 id="第三方-plugin--mcp-server-的供應鏈">第三方 plugin / <a href="/blog/llm/knowledge-cards/mcp/" data-link-title="MCP（Model Context Protocol）" data-link-desc="LLM application ↔ 外部 tool server 之間的標準化協議、複用 OpenAI 相容 API 的成功模式">MCP server</a> 的供應鏈</h2>
<p>模型本身的供應鏈之外、Continue.dev / MCP server / Ollama plugin 等也構成供應鏈、且風險形態不同：</p>
<ol>
<li><strong>MCP server 多為可執行程式碼</strong>：安裝 MCP server 等於在本機跑第三方程式碼、權限影響大於 GGUF 檔案（GGUF 只在 inference 時影響輸出、MCP server 可以直接讀寫檔案、呼叫 shell）。</li>
<li><strong>Continue.dev 擴充套件</strong>：VS Code marketplace 有基本審查、但 community-published 擴充套件的供應鏈仍是個人視角。Continue.dev 安裝與 multi-provider 配置見 <a href="/blog/llm/01-local-llm-services/vscode-continue-integration/" data-link-title="1.3 VS Code &#43; Continue.dev 整合" data-link-desc="安裝 Continue 擴充套件、config.json 設定、Cmd&#43;L 對話 / Cmd&#43;I 行內編輯快捷鍵">1.3</a>。</li>
<li><strong>Ollama Modelfile 中的指令</strong>：Modelfile 內可以指定 template、system prompt 等、若使用社群分享的 Modelfile、要看完內容再用。</li>
</ol>
<p>MCP server 的權限模型詳見 <a href="/blog/llm/06-security/tool-use-permission-model/" data-link-title="6.2 tool use 與 MCP server 的權限模型" data-link-desc="個人 dev 場景下 tool use / MCP server 的副作用權限：檔案系統 / shell / 網路存取邊界、第三方 MCP 信任、副作用的可逆性">6.2 tool use 與 MCP server 的權限模型</a>。</p>
<blockquote>
<p><strong>事實查核註</strong>：MCP（Model Context Protocol）的安全模型仍在演進、各 MCP server 實作的權限粒度、認證機制依版本變化、建議引用前以 <a href="https://modelcontextprotocol.io">MCP 官方文件</a> 跟具體 MCP server 的 README 為準。</p></blockquote>
<h2 id="給讀者的判讀流程">給讀者的判讀流程</h2>
<p>實際下載 / 切換模型時的判讀流程：</p>
<ol>
<li><strong>確認來源 organization / namespace</strong>：是 official、知名量化者、還是個人上傳。</li>
<li><strong>比對檔案完整性</strong>：對主流量化等級、HF / Ollama 通常提供 hash；下載完做一次 hash 比對。</li>
<li><strong>記錄 hash 到本機 inventory</strong>：建一份 <code>~/models/inventory.md</code>、記錄每個 GGUF 的來源 URL、下載日期、SHA-256。</li>
<li><strong>試模型基本行為</strong>：用簡單 prompt 確認模型行為合理。</li>
<li><strong>若是新 MCP server</strong>：分開判讀供應鏈（看 6.2）、不要把 GGUF 跟 MCP 的信任邊界混在一起。</li>
</ol>
<h2 id="下一章">下一章</h2>
<p>下一章：<a href="/blog/llm/06-security/inference-server-binding/" data-link-title="6.1 推論伺服器的綁定與暴露範圍" data-link-desc="個人 dev 場景下 llama-server / Ollama / LM Studio 的 bind address 判讀：127.0.0.1 vs LAN vs 反代、預設安全、誤開放給內網的後果">6.1 推論伺服器的綁定與暴露範圍</a>、處理伺服器跑起來後的第一個對外接觸面。</p>
]]></content:encoded></item></channel></rss>