FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）监测发现，ComfyUI工具存在任意文件读取、远程代码执行等5个安全漏洞，已被用于实施网络攻击。

ComfyUI是一款开源的人工智能绘图工具，用于人工智能驱动的图像生成、视频制作、3D建模与音频创作等。由于其组件存在代码注入、任意文件读取、跨站脚本、远程代码执行等安全漏洞，可被攻击者利用执行远程恶意代码，获取服务器权限，进而窃取系统数据。受影响的ComfyUI组件包括ComfyUI-Ace-Nodes、Comfyanonymous/comfyui、ComfyUI-Bmad-Node、ComfyUI-Impact-Pack、ComfyUI-Manager。

上述漏洞均已修复，建议相关单位和用户立即开展全面排查，及时升级至最新安全版本，通过限制互联网访问、设置IP白名单、增强身份验证机制等方式做好类似人工智能应用的安全加固，防范网络安全风险。

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）