国家网络安全通报中心今日发文，称 AI 绘图工具 ComfyUI 存在多个高危漏洞，包含任意文件读取、远程代码执行等多个历史高危漏洞（CVE-2024-10099、CVE-2024-21574、CVE-2024-21575、CVE-2024-21576、CVE-2024-21577）。

公告写道，攻击者可利用上述漏洞实施远程代码执行攻击，获取服务器权限，进而窃取系统数据。目前已有境外黑客组织利用 ComfyUI 漏洞对中国网络资产实施网络攻击，伺机窃取重要敏感数据。

关于 ComfyUI

‌ComfyUI 是一款基于节点流程的 Stable Diffusion 操作界面，专为图像生成任务设计。‌它通过将深度学习模型的工作流程简化为图形化节点，使用户操作更加直观和易于理解。

ComfyUI 提供了高度的可视化和扩展性，用户可以通过拖放操作来构建和调整图像生成流程，无需编写代码。‌作为大模型图像生成领域的最热门框架之一，其在 GitHub 斩获了接近 7W Star，备受开发者喜爱，根据网络空间测绘数据，全网共有近 2700 例 ComfyUI 服务，其中不乏无需密码直接访问的案例。

ComfyUI 后台支持加载用户指定的模型文件，同时用户可以方便地管理模型。但给用户带来便利的同时，也存在一些安全隐患。

相关阅读：AI 组件 ComfyUI 易被黑产盯上