ComfyUI插件发现严重安全隐患,主要涉及Impact-Pack插件一个名为“ComfyUI_LLMVISION”的恶意节点。这个恶意节点被发现植入了加密货币挖矿病毒,导致用户面临浏览器数据泄露的风险,包括窃取密码、信用卡信息和浏览历史记录等敏感信息。
事件的起因是Reddit用户@roblaughter在安装该插件后,发现自己的多个账户出现异常登录尝试,随后在社区中发帖警告其他用户。经过进一步调查,发现该插件的代码库中确实存在恶意程序植入痕迹,表明这是一次有预谋的黑客攻击。
ComfyUI是一款广受欢迎的开源AI绘画工具,其灵活性允许用户通过安装插件来自定义工作流程。然而,这次事件揭示了开源社区中潜在的安全隐患,提醒用户在使用第三方插件时需提高警惕。
为了应对这一安全威胁,各方迅速采取了行动。GitHub已封禁了该插件的开发者账号,而ComfyUI Manager也新增了安全检测器,以自动进行后台扫描并提醒用户潜在的病毒威胁。此外,用户被建议采取多种措施来保护自己,包括删除恶意包、检查系统文件和注册表、使用杀毒软件扫描以及修改相关密码。
为了降低安装病毒插件的风险,用户可以优先使用ComfyUI Manager进行安装,并仔细检查插件的开发者主页和Requirements文件。如果用户具备编程知识,可以在安装前浏览插件代码,特别是那些容易被植入恶意程序的部分。
这次事件再次强调了在享受开源工具便利的同时,用户应保持高度的安全意识,采取必要的防护措施以保护个人信息安全
声明:文章来源于网络,如有侵权请联系删除!