首頁 > 關于我們 > 新聞動態 > 產品動態

啟明星辰MAF筑牢AI安全防線:Probllama漏洞與ComfyUI投毒事件揭示AI時代攻防新風險

發布時間 2025-03-05

“讓每一句人機對話都安全可信,讓每一次智能交互都風險可控——這是屬于AI時代的安全承諾。 —— 啟明星辰”


前言:


當前AI技術飛速發展,大模型已廣泛應用于各個領域,為企業和社會帶來巨大價值。然而,隨著DeepSeek等開源大模型普及,大模型軟件供應鏈的安全問題逐漸凸顯。Probllama漏洞和ComfyUI投毒事件敲響了安全警鐘,本文將深入剖析這些事件背后的攻防風險,揭示大模型供應鏈面臨的挑戰,并介紹啟明星辰MAF如何構建安全防線,守護大模型應用安全。


大模型軟件供應鏈安全:AI時代的攻防新戰場


隨著DeepSeek等開源大模型的普及,企業快速構建AI服務的能力顯著提升,但大模型供應鏈的復雜性也催生了新的安全風險。如今,一條涵蓋模型訓練、部署以及應用的全新供應鏈已然成型,但其所潛藏的安全風險卻被人們低估。


作為一款開源AI大模型部署平臺,Ollama憑借其“傻瓜式”的便捷操作,在GitHub上收獲了超過十三萬的星標,并且Docker拉取次數達到數千萬次,成為了簡化AI模型打包與部署的首選工具。無獨有偶,ComfyUI作為大模型圖像生成領域最熱門的框架之一,憑借其強大且靈活的節點化流程控制功能,在GitHub上也斬獲了近七萬星標,深受開發者的青睞。


然而,這類新興技術和組件的迅速普及也暴露出了明顯的安全隱患。


作為算力密集型應用的核心載體,大模型系統不僅承載著千億級參數的復雜運算,更因其部署環境普遍配置高性能GPU集群,已成為攻擊者眼中的高價值目標。根據資產測繪數據顯示,當前暴露在公網的Ollama服務器中,約89%都未實施基礎訪問控制措施。


這種"算力裸奔"現象直接催生了新型攻擊范式:攻擊者可通過劫持未授權API接口,將大模型服務器轉化為加密貨幣挖礦節點;或利用系統漏洞發起分布式拒絕服務攻擊(DDoS),單次惡意推理請求即可消耗價值數萬美元的算力資源。更嚴峻的是,被攻陷的模型服務器可能成為攻擊跳板,通過橫向滲透威脅企業核心數據資產。


近期曝光的Probllama漏洞與ComfyUI投毒事件,便揭示了傳統安全缺陷在AI領域的延伸:


案例一:Probllama 漏洞


2024年6月,WizResearch披露的CVE-2024-37032(Probllama)漏洞顯示,攻擊者可借助路徑遍歷漏洞,向Ollama服務器發送惡意HTTP請求,進而覆蓋系統文件,最終實現遠程代碼執行(RCE)。更為嚴峻的是,在默認配置下,Ollama的Docker版本會以root權限運行,并且將API端口直接暴露至公網。這些暴露在公網的服務器不僅面臨遠程代碼執行風險,更可能成為算力劫持的跳板——某能源企業曾遭遇攻擊者利用CVE-2024-37032漏洞植入門羅幣挖礦程序,導致單臺8卡A100服務器每日產生超300美元電費損失。


Probllama漏洞的關鍵利用鏈如下:


1.路徑遍歷實現任意文件寫入,劫持動態鏈接庫加載


攻擊者通過惡意registry拉取模型時,在digest字段注入路徑遍歷載荷(如../../../../etc/ld.so.preload),覆蓋系統關鍵文件,強制服務器加載攻擊者預埋的惡意共享庫;


2.API觸發代碼執行


調用Ollama的/api/chat接口時,新進程會自動加載惡意庫,在模型推理過程中加載惡意代碼,最終實現對服務器的遠程控制。


案例二:ComfyUI 投毒事件


據CVE官方披露,ComfyUI歷史上存在多種類型的漏洞,包括任意文件讀取漏洞、遠程代碼執行漏洞、存儲XSS漏洞等,相關漏洞已被分配了CVE編號,如CVE-2024-10099、CVE-2024-21574等。此外,ComfyUI還存在默認無身份鑒權機制的"特性",攻擊者可以直接訪問部分公網部署的ComfyUI后臺。


在這種場景下,攻擊者可以進行投毒攻擊,其攻擊步驟如下:


1.未授權訪問ComfyUI后臺


攻擊者利用ComfyUI的錯誤配置,繞過認證機制,直接訪問ComfyUI后臺管理界面;


2.濫用模型加載功能


攻擊者通過ComfyUI后臺的模型加載功能,從Hugging Face平臺下載并安裝預先上傳的惡意模型文件;


3.Pickle反序列化漏洞利用


在模型加載過程中,ComfyUI使用Pickle進行反序列化操作,攻擊者利用此邏輯執行惡意代碼,從而控制受害者機器。


此類事件揭示了大模型供應鏈的共性挑戰:


1.認證機制缺失


多數工具默認無身份驗證,依賴用戶自行配置反向代理等防護措施;


2.組件安全失控


新興工具代碼庫尚不成熟,易出現路徑遍歷、代碼注入等經典漏洞;如上述的Probllama漏洞,則主要源于Ollama框架的路徑遍歷缺陷,允許攻擊者通過惡意模型文件篡改系統配置,最終實現遠程代碼執行。其本質是傳統軟件供應鏈漏洞在AI基礎設施中的再現;


3.模型投毒風險


ComfyUI攻擊事件中,攻擊者利用無鑒權的后臺和pickle反序列化漏洞,通過加載社區的惡意模型文件植入遠控木馬。這暴露了AI框架對第三方模型文件的盲目信任問題;


4.傳統漏洞新場景


Python的pickle模塊、Keras的Lambda層等本用于提升開發效率的組件,卻因缺乏安全設計成為AI系統的“木馬通道”;


5.算力資產暴露


企業往往將大模型服務器視為普通Web服務器管理,忽略其GPU算力的特殊價值。攻擊者通過自動化腳本掃描11434等特征端口,可快速定位存在Ollama未授權訪問漏洞的"高價值目標",形成新型的算力黑產攻擊鏈。


值得注意的是,這些漏洞的利用無需復雜AI知識,僅依賴傳統滲透技術即可完成,凸顯AI供應鏈中傳統安全漏洞的“放大效應”。


啟明星辰MAF:構建大模型安全的縱深防線


面對大模型領域中的復合型威脅,傳統安全方案已顯力不從心。作為WAF/WAAP技術的自然演進,啟明星辰推出的天清MAF大模型應用防火墻繼承了自身在應用安全領域的技術積淀,專為AI時代量身定制,成為守護大模型服務的“第一道城墻”。


? MAF實戰攔截示例:

Probllama漏洞/未授權算力濫用風險自動化防御


針對CVE-2024-37032的路徑遍歷攻擊,以及在攻擊環節中,服務端的未授權訪問配置可能帶來的算力濫用甚至Dos風險,啟明星辰MAF通過API流量深度解析與智能無界消費識別算法可實現精準攔截:


1.路徑遍歷載荷實時阻斷


MAF內置的AI組件漏洞特征庫預置Ollama路徑遍歷攻擊指紋,通過動態解析registry服務器響應的digest字段,結合上下文語義分析(非常規路徑層級、非標準字符編碼),在攻擊載荷到達Ollama服務前即完成攔截。


2.API 權限基線管控


針對Ollama默認無鑒權的高危特性,MAF提供動態身份驗證增強功能:


? 強制實施API調用方身份校驗(如JWT令牌/IP白名單),阻斷未授權訪問/api/chat、/api/pull等敏感接口;

精細化控制模型操作權限,禁止非管理賬號執行registry拉取等高風險動作。


3.算力濫用行為防御


通過AI推理資源消耗基線建模,MAF可識別異常模型調用行為:


實時監控API請求頻率,對單客戶端短時間內的多次推理請求行為自動限速;

實時監控API響應耗時及響應內容,對單客戶端異常的長耗時響應進行阻斷或限速。


MAF默認防護模板已集成上述規則,用戶無需調整業務代碼即可獲得自適應防護。


解構大模型場景風險,筑建四維核心防護能力


在大模型技術深度融入核心業務的今天,安全威脅呈現出三維疊加特征:其一,模型服務承載著企業知識資產與用戶隱私數據,其高價值屬性使其成為攻擊者的首要目標;其二,Ollama路徑遍歷等傳統漏洞在AI組件中的重現,使得攻擊成本大為降低;其三,提示詞注入、知識庫污染等新型攻擊范式持續涌現。構建覆蓋"輸入-處理-輸出"全鏈路的一體化防護體系,已成為AI安全建設的剛性需求。


1.對抗AI原生新型攻擊:智能語義防御中樞


針對大模型交互特性,MAF構建的多層檢測矩陣:規則匹配、語義分析、AI檢測算法,將大模型特有攻擊攔截在推理環節之前,確保輸入內容嚴格符合安全及監管策略。


2.阻斷供應鏈漏洞傳導:虛擬補丁防御網


基于WAAP(Web應用和API防護)技術積累,MAF內置針對AI組件(如Ollama、ComfyUI)的虛擬補丁規則,可實時攔截路徑遍歷、命令注入等傳統攻擊,阻斷類似Probllama漏洞的利用鏈,在無需修改業務代碼的情況下形成漏洞免疫能力,避免供應鏈漏洞影響業務主體的保密性、完整性與可用性。


3.守護服務穩定性:智能流量清洗引擎


面對新型DDoS攻擊(如通過GPT接口發起的高頻問答耗盡GPU資源),MAF采用多維度防護策略:基于用戶行為基線實施動態QPS控制、通過客戶端特征識別阻斷自動化BOT流量、智能高資源占用響應識別,實時攔截異常推理請求,保障API服務高可用性。


4.構建合規輸出防線:內容安全過濾器


MAF搭載敏感信息識別引擎,支持50+種隱私數據類型實時脫敏(如身份證/銀行卡號模糊化)。同時通過多模態內容審查,攔截政治敏感、虛假信息等違規輸出,內置的行業合規模板可滿足金融、醫療等場景的差異化監管要求。


從WAF到MAF:技術底蘊與高客戶價值


作為國內WAF領域的領軍者,啟明星辰在應用層安全領域深耕多年,其WAF/WAAP產品已覆蓋API安全、Bot管理等擴展場景。MAF的推出標志著安全防護從“以Web為中心”向“以模型交互為中心”的范式轉移。與僅依賴模型內生安全機制(如RLHF訓練)不同,MAF通過外掛式部署,在不影響模型性能的前提下,提供獨立于業務邏輯的安全邊界,尤其適配企業混合云、邊緣計算等復雜環境,并針對大模型特性進行三大升級:


1.多范式檢測融合:結合規則匹配(第二范式)、大數據分析(第四范式)與大模型推理(第五范式),實現威脅檢測精度與效率的雙重提升;


2.靈活部署適配:支持云端、邊緣、本地環境,無縫覆蓋DeepSeek等模型的多樣化業務場景;


3.外掛式輕量防護:無需與模型深度耦合,即可提供“無侵入”安全加固,對大模型應用威脅進行全鏈路的一體化覆蓋,降低企業部署成本。


隨著多模態大模型與邊緣計算的普及,MAF將持續迭代:


1.AI對抗AI:利用大模型分析攻擊模式,動態優化防御策略;


2.平行仿真防御:構建虛擬環境模擬攻擊,提前預判未知威脅;


3.性能突破:優化時延與吞吐量,適配高實時性推理場景。


啟明星辰MAF憑借深厚的技術積累與前瞻性設計,不僅為DeepSeek等國產模型提供堅實防護,更開創了“大模型應用防火墻”新賽道。上述兩個案例的啟示在于,大模型安全并非孤立賽道,而是傳統安全與AI特性的深度融合。MAF通過繼承WAF/WAAP的技術基因,將應用安全能力擴展至大模型領域,為企業應對“新舊交織”的威脅提供了一體化解決方案。隨著AI成為業務核心入口,MAF或將重塑下一代應用防火墻的行業標準,推動AI基礎設施從“可用”向“可信”演進。


AI的浪潮不可逆轉,但安全可以未雨綢繆。啟明星辰MAF正以“傳統安全基因+AI原生能力”的雙重優勢,護航中國企業駛向智能時代的廣闊藍海。

上一篇 下一篇