5 月 27 日消息,國(guó)家網(wǎng)絡(luò)安全通報(bào)中心今日發(fā)文��,稱 AI 繪圖工具 ComfyUI 存在多個(gè)高危漏洞。體現(xiàn)了國(guó)家對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的高度重視���。ComfyUI作為一款基于節(jié)點(diǎn)式工作流的開(kāi)源Stable Diffusion工具���,其漏洞可能被不法分子利用,威脅用戶數(shù)據(jù)安全和系統(tǒng)穩(wěn)定性�。以下是關(guān)鍵信息梳理及應(yīng)對(duì)建議:
漏洞風(fēng)險(xiǎn)概述
-
漏洞類(lèi)型(可能涉及):
-
遠(yuǎn)程代碼執(zhí)行(RCE):攻擊者可能通過(guò)惡意節(jié)點(diǎn)或工作流文件在用戶設(shè)備上執(zhí)行任意代碼。
-
敏感信息泄露:模型��、密鑰或用戶數(shù)據(jù)可能因權(quán)限配置不當(dāng)被竊取���。
-
依賴庫(kù)漏洞:ComfyUI依賴的Python庫(kù)(如Torch���、Pillow)若版本過(guò)舊,可能存在已知漏洞����。
-
跨站腳本(XSS):WebUI界面若未嚴(yán)格過(guò)濾輸入,可能導(dǎo)致腳本注入�。
-
潛在影響:
-
用戶設(shè)備被控制,淪為僵尸網(wǎng)絡(luò)節(jié)點(diǎn)��。
-
本地存儲(chǔ)的AI模型或隱私數(shù)據(jù)遭竊取��。
-
攻擊者傳播惡意模型污染開(kāi)源社區(qū)�。
官方建議與應(yīng)對(duì)措施
-
立即行動(dòng):
-
暫停使用受影響版本:關(guān)注ComfyUI官方Git倉(cāng)庫(kù)或安全公告,確認(rèn)漏洞版本范圍(如v2.x以下)�����。
-
更新至新版本:開(kāi)發(fā)者通常會(huì)在漏洞披露后發(fā)布補(bǔ)丁(如v2.1+修復(fù)了部分RCE問(wèn)題)�����。
-
審查自定義工作流:刪除來(lái)源不明的節(jié)點(diǎn)或工作流文件(如.json/.png嵌入腳本)�。
-
安全加固:
-
隔離運(yùn)行環(huán)境:在虛擬機(jī)或容器中運(yùn)行ComfyUI,限制網(wǎng)絡(luò)權(quán)限�����。
-
小化依賴:使用pip-audit掃描并更新Python依賴庫(kù)��。
-
啟用防火墻規(guī)則:阻斷ComfyUI非必要的外聯(lián)請(qǐng)求���。
-
企業(yè)用戶額外步驟:
技術(shù)背景補(bǔ)充
延伸閱讀
請(qǐng)用戶嚴(yán)格遵守《網(wǎng)絡(luò)安全法》要求�����,及時(shí)上報(bào)重大安全事件至國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT)�����。建議相關(guān)用戶在確保安全的前提下�����,及時(shí)下載升級(jí)官方補(bǔ)丁堵塞漏洞��,同時(shí)做好類(lèi)似人工智能大模型應(yīng)用的安全加固��,確保網(wǎng)絡(luò)和數(shù)據(jù)安全���,發(fā)現(xiàn)遭攻擊情況第一時(shí)間向當(dāng)?shù)毓矙C(jī)關(guān)報(bào)告���。 |
咨詢服務(wù)熱線:400-099-8848
