AI绘图工具ComfyUI爆高危漏洞,境外黑客已发起攻击!

发布于 作者:

AI绘图工具ComfyUI爆高危漏洞,境外黑客已发起攻击!

原创 道玄安全 道玄网安驿站 2025-06-01 07:57


 AI漏洞。

PS:有内网web自动化需求可以私信

01

导语

国家网络安全通报中心于5月27日发布紧急安全警报:广受欢迎的AI绘图工具
ComfyUI存在多个高危漏洞
,已被境外黑客组织利用对我国网络资产实施攻击。

这一消息在AI创作圈引发震动。作为一款
通过图形化节点简化深度学习工作流程的工具
,ComfyUI因其直观易用的特性,已成为众多设计师、插画师和内容创作者的日常生产力工具。

01 漏洞警报:AI绘图工具暗藏致命风险

根据国家网络安全通报中心的官方通报,北京市网络与信息安全信息通报中心近期发现ComfyUI存在
多个历史高危漏洞
,涉及编号包括
CVE-2024-10099
、CVE-2024-21574、CVE-2024-21575、CVE-2024-21576和CVE-2024-21577。

这些漏洞类型主要为
任意文件读取和远程代码执行
两类高危安全问题。

攻击者可以利用这些漏洞实施远程代码执行攻击,
获取服务器最高控制权限
,进而窃取系统敏感数据。

更令人担忧的是,安全监测已发现
境外黑客组织正利用这些漏洞
对我国网络资产实施网络攻击,试图窃取重要敏感数据。

02 漏洞解析:攻击者的入侵路径

ComfyUI漏洞的技术危害主要体现在两个层面,形成完整的攻击链条:

任意文件读取漏洞
使攻击者能够
无限制访问服务器上的任意文件
,包括配置文件、密钥信息和敏感数据。这意味着存储在服务器上的设计原稿、商业机密甚至用户隐私都可能被窃取。

远程代码执行漏洞
则更为致命,允许攻击者
在目标服务器上直接执行恶意代码
,相当于拿到了服务器的“管理员钥匙”。攻击者利用这些漏洞可完全控制系统,进而植入后门、勒索病毒或横向渗透到内网其他设备。

这两类漏洞组合使用,攻击者可以
先读取系统信息寻找弱点
,再执行攻击代码获取控制权,形成完整攻击链。

03 攻击动态:境外黑客组织已行动

国家网络安全通报中心的通报中明确指出,
监测到境外黑客组织正在积极利用这些漏洞
发动攻击。

这些黑客组织的主要目标是
窃取我国重要敏感数据
,具体攻击对象可能包括使用ComfyUI的设计机构、文创企业、游戏开发公司等依赖AI绘图技术的机构。

攻击者利用这些漏洞可以
悄无声息地渗透进入企业网络
,长期潜伏窃取设计图纸、商业计划等核心知识产权。安全专家分析指出,在漏洞修补前,攻击者可能已经获取了大量敏感信息。

04 紧急防护:三步应对方案

面对如此严峻的安全形势,国家网络安全通报中心给出了明确的防护指南:

立即升级修补
:ComfyUI用户应
在确保环境安全的前提下
,立即下载安装官方发布的最新补丁,封堵已知漏洞。这是当前最紧迫的防护措施。

全面安全加固
:对所有人工智能大模型应用进行安全加固检查,包括
访问控制、日志审计和权限最小化
等原则。企业用户应重新评估AI工具的安全部署方案。

建立应急机制
:一旦发现系统
遭攻击迹象,立即断开网络连接
,保存日志证据,并第一时间向当地公安机关报告。快速响应能最大限度减少损失。

05 深度防御:AI应用安全加固指南

除了紧急修补措施外,企业和个人用户需要建立AI应用的长期安全机制:

权限隔离原则
:运行AI应用的账户
不应拥有过高系统权限
,应遵循最小权限原则。将AI工具运行在
隔离容器环境
中,限制其对系统资源的访问范围。

网络访问控制
:严格限制AI工具的外网访问权限,
仅开放必要的网络端口
。对AI应用的对外连接实施白名单控制,阻断异常通信。

持续监控机制
:部署安全监控系统,
关注AI应用的异常行为
,如突发的文件读取高峰、异常的进程启动等。建立针对AI系统的专门安全审计策略。

多重备份策略
:对AI工具生成的
重要设计文件实施3-2-1备份原则
——3份拷贝、2种介质、1份异地存储。即使系统被攻破,也能保证核心数据安全。

某设计公司安全主管李明亲历了漏洞攻击后的应急响应:“我们发现异常时,黑客已经潜伏了三天,正在打包设计部门的未发布作品集。” 该公司立即采取隔离措施并向网安部门报告,
避免了新款游戏角色设计的全面泄露

随着AI工具深度融入创作流程,安全防护不再是IT部门的专属职责。从设计师到企业管理者,
每个人都应具备基本的安全意识

国家网络安全通报中心特别提醒:使用AI工具时,
定期更新、权限最小化和敏感数据隔离
,这三条原则必须成为操作习惯。

免责声明:

本人所有文章均为技术分享,均用于防御为目的的记录,所有操作均在实验环境下进行,请勿用于其他用途,否则后果自负。

第二十七条:任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序和工具;明知他人从事危害网络安全的活动,不得为其提供技术支持、广告推广、支付结算等帮助

第十二条:  国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。

任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

第十三条:  国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。