工具
llama.cpp Windows CUDA 12.4 构建遭 Defender 误报为木马
有用户反映 llama.cpp 最新 Windows CUDA 12.4 二进制版本(b9856)被 Windows D…
2026.07.02 · 周四约 2 分钟阅读
近日,r/LocalLLaMA 用户 Far_Course2496 反馈,在下载 llama.cpp 最新 Windows + CUDA 12.4 二进制版本(版本号 b9856)并尝试运行 llama-server 时,被 Windows Defender 拦截并判定为木马 Wacatac.H!ml,相关 dll 文件被自动删除,而此前下载的旧版本则未出现相同情况。
事件经过
- 当天下载该构建版本后启动 llama-server,Defender 立即弹出威胁告警,并将 llama-server-impl.dll 从目录中移除。
- 用户对比测试发现,同一安装路径下的旧版本 llama.cpp 二进制文件仍可正常使用,未触发任何告警。
- 原帖未提供该构建的来源链接,也未提交 SHA256 校验值供比对。
可能的背景
Wacatac 系列属于微软 Defender 启发式扫描中的常见误报名称之一。对于缺乏广泛分发基数、且包含 CUDA、AVX 等原生加速代码的二进制文件,Defender 出现误判并非个例,历史上 llama.cpp、PyTorch 等本地推理与科学计算工具的特定构建均出现过类似情况。用户在尝试运行前,可留意以下几点:
- 确认来源:仅从 llama.cpp 官方 GitHub Releases 页面下载,并在下载后核对随附的校验值。
- 版本回退:如当前构建必现告警,可暂时回退至无 CUDA 12.4 的旧版本,或改用 CPU / Vulkan 构建。
- 临时处理:在 Defender 中将解压目录加入排除项,或通过微软官方误报提交页面上传样本以申请复审。
目前,llama.cpp 维护者尚未就该具体构建发布官方声明,社区仍在原帖下讨论。
