AI绘图工具ComfyUI爆高危漏洞，境外黑客已发起攻击！

导语

    国家网络安全通报中心于5月27日发布紧急安全警报：广受欢迎的AI绘图工具ComfyUI存在多个高危漏洞，已被境外黑客组织利用对我国网络资产实施攻击。

    这一消息在AI创作圈引发震动。作为一款通过图形化节点简化深度学习工作流程的工具，ComfyUI因其直观易用的特性，已成为众多设计师、插画师和内容创作者的日常生产力工具。

01 漏洞警报：AI绘图工具暗藏致命风险

    根据国家网络安全通报中心的官方通报，北京市网络与信息安全信息通报中心近期发现ComfyUI存在多个历史高危漏洞，涉及编号包括CVE-2024-10099、CVE-2024-21574、CVE-2024-21575、CVE-2024-21576和CVE-2024-21577。

    这些漏洞类型主要为任意文件读取和远程代码执行两类高危安全问题。

    攻击者可以利用这些漏洞实施远程代码执行攻击，获取服务器最高控制权限，进而窃取系统敏感数据。

    更令人担忧的是，安全监测已发现境外黑客组织正利用这些漏洞对我国网络资产实施网络攻击，试图窃取重要敏感数据。

02 漏洞解析：攻击者的入侵路径

    ComfyUI漏洞的技术危害主要体现在两个层面，形成完整的攻击链条：

    任意文件读取漏洞使攻击者能够无限制访问服务器上的任意文件，包括配置文件、密钥信息和敏感数据。这意味着存储在服务器上的设计原稿、商业机密甚至用户隐私都可能被窃取。

    远程代码执行漏洞则更为致命，允许攻击者在目标服务器上直接执行恶意代码，相当于拿到了服务器的“管理员钥匙”。攻击者利用这些漏洞可完全控制系统，进而植入后门、勒索病毒或横向渗透到内网其他设备。

这两类漏洞组合使用，攻击者可以先读取系统信息寻找弱点，再执行攻击代码获取控制权，形成完整攻击链。

03 攻击动态：境外黑客组织已行动

    国家网络安全通报中心的通报中明确指出，监测到境外黑客组织正在积极利用这些漏洞发动攻击。

    这些黑客组织的主要目标是窃取我国重要敏感数据，具体攻击对象可能包括使用ComfyUI的设计机构、文创企业、游戏开发公司等依赖AI绘图技术的机构。

    攻击者利用这些漏洞可以悄无声息地渗透进入企业网络，长期潜伏窃取设计图纸、商业计划等核心知识产权。安全专家分析指出，在漏洞修补前，攻击者可能已经获取了大量敏感信息。

04 紧急防护：三步应对方案

    面对如此严峻的安全形势，国家网络安全通报中心给出了明确的防护指南：

立即升级修补：ComfyUI用户应在确保环境安全的前提下，立即下载安装官方发布的最新补丁，封堵已知漏洞。这是当前最紧迫的防护措施。

全面安全加固：对所有人工智能大模型应用进行安全加固检查，包括访问控制、日志审计和权限最小化等原则。企业用户应重新评估AI工具的安全部署方案。

建立应急机制：一旦发现系统遭攻击迹象，立即断开网络连接，保存日志证据，并第一时间向当地公安机关报告。快速响应能最大限度减少损失。

05 深度防御：AI应用安全加固指南

    除了紧急修补措施外，企业和个人用户需要建立AI应用的长期安全机制：

    权限隔离原则：运行AI应用的账户不应拥有过高系统权限，应遵循最小权限原则。将AI工具运行在隔离容器环境中，限制其对系统资源的访问范围。

    网络访问控制：严格限制AI工具的外网访问权限，仅开放必要的网络端口。对AI应用的对外连接实施白名单控制，阻断异常通信。

    持续监控机制：部署安全监控系统，关注AI应用的异常行为，如突发的文件读取高峰、异常的进程启动等。建立针对AI系统的专门安全审计策略。

    多重备份策略：对AI工具生成的重要设计文件实施3-2-1备份原则——3份拷贝、2种介质、1份异地存储。即使系统被攻破，也能保证核心数据安全。

    某设计公司安全主管李明亲历了漏洞攻击后的应急响应：“我们发现异常时，黑客已经潜伏了三天，正在打包设计部门的未发布作品集。” 该公司立即采取隔离措施并向网安部门报告，避免了新款游戏角色设计的全面泄露。

    随着AI工具深度融入创作流程，安全防护不再是IT部门的专属职责。从设计师到企业管理者，每个人都应具备基本的安全意识。

    国家网络安全通报中心特别提醒：使用AI工具时，定期更新、权限最小化和敏感数据隔离，这三条原则必须成为操作习惯。

原文始发于微信公众号（道玄网安驿站）：AI绘图工具ComfyUI爆高危漏洞，境外黑客已发起攻击！