启明星辰MAF筑牢AI安全防线：Probllama漏洞与ComfyUI投毒事件揭示AI时代攻防新风险

随着DeepSeek等开源大模型的普及，企业快速构建AI服务的能力显著提升，但大模型供应链的复杂性也催生了新的安全风险。如今，一条涵盖模型训练、部署以及应用的全新供应链已然成型，但其所潜藏的安全风险却被人们低估。

作为一款开源AI大模型部署平台，Ollama凭借其“傻瓜式”的便捷操作，在GitHub上收获了超过十三万的星标，并且Docker拉取次数达到数千万次，成为了简化AI模型打包与部署的首选工具。无独有偶，ComfyUI作为大模型图像生成领域最热门的框架之一，凭借其强大且灵活的节点化流程控制功能，在GitHub上也斩获了近七万星标，深受开发者的青睐。

然而，这类新兴技术和组件的迅速普及也暴露出了明显的安全隐患。

作为算力密集型应用的核心载体，大模型系统不仅承载着千亿级参数的复杂运算，更因其部署环境普遍配置高性能GPU集群，已成为攻击者眼中的高价值目标。根据资产测绘数据显示，当前暴露在公网的Ollama服务器中，约89%都未实施基础访问控制措施。

这种"算力裸奔"现象直接催生了新型攻击范式：攻击者可通过劫持未授权API接口，将大模型服务器转化为加密货币挖矿节点；或利用系统漏洞发起分布式拒绝服务攻击（DDoS），单次恶意推理请求即可消耗价值数万美元的算力资源。更严峻的是，被攻陷的模型服务器可能成为攻击跳板，通过横向渗透威胁企业核心数据资产。

近期曝光的Probllama漏洞与ComfyUI投毒事件，便揭示了传统安全缺陷在AI领域的延伸：

2024年6月，WizResearch披露的CVE-2024-37032（Probllama）漏洞显示，攻击者可借助路径遍历漏洞，向Ollama服务器发送恶意HTTP请求，进而覆盖系统文件，最终实现远程代码执行（RCE）。更为严峻的是，在默认配置下，Ollama的Docker版本会以root权限运行，并且将API端口直接暴露至公网。这些暴露在公网的服务器不仅面临远程代码执行风险，更可能成为算力劫持的跳板——某能源企业曾遭遇攻击者利用CVE-2024-37032漏洞植入门罗币挖矿程序，导致单台8卡A100服务器每日产生超300美元电费损失。

Probllama漏洞的关键利用链如下：

1.路径遍历实现任意文件写入，劫持动态链接库加载

攻击者通过恶意registry拉取模型时，在digest字段注入路径遍历载荷（如../../../../etc/ld.so.preload），覆盖系统关键文件，强制服务器加载攻击者预埋的恶意共享库；

2.API触发代码执行

调用Ollama的/api/chat接口时，新进程会自动加载恶意库，在模型推理过程中加载恶意代码，最终实现对服务器的远程控制。

据CVE官方披露，ComfyUI历史上存在多种类型的漏洞，包括任意文件读取漏洞、远程代码执行漏洞、存储XSS漏洞等，相关漏洞已被分配了CVE编号，如CVE-2024-10099、CVE-2024-21574等。此外，ComfyUI还存在默认无身份鉴权机制的"特性"，攻击者可以直接访问部分公网部署的ComfyUI后台。

在这种场景下，攻击者可以进行投毒攻击，其攻击步骤如下：

1.未授权访问ComfyUI后台

攻击者利用ComfyUI的错误配置，绕过认证机制，直接访问ComfyUI后台管理界面；

2.滥用模型加载功能

攻击者通过ComfyUI后台的模型加载功能，从Hugging Face平台下载并安装预先上传的恶意模型文件；

3.Pickle反序列化漏洞利用

在模型加载过程中，ComfyUI使用Pickle进行反序列化操作，攻击者利用此逻辑执行恶意代码，从而控制受害者机器。

此类事件揭示了大模型供应链的共性挑战：

1.认证机制缺失

多数工具默认无身份验证，依赖用户自行配置反向代理等防护措施；

2.组件安全失控

新兴工具代码库尚不成熟，易出现路径遍历、代码注入等经典漏洞；如上述的Probllama漏洞，则主要源于Ollama框架的路径遍历缺陷，允许攻击者通过恶意模型文件篡改系统配置，最终实现远程代码执行。其本质是传统软件供应链漏洞在AI基础设施中的再现；

3.模型投毒风险

ComfyUI攻击事件中，攻击者利用无鉴权的后台和pickle反序列化漏洞，通过加载社区的恶意模型文件植入远控木马。这暴露了AI框架对第三方模型文件的盲目信任问题；

4.传统漏洞新场景

Python的pickle模块、Keras的Lambda层等本用于提升开发效率的组件，却因缺乏安全设计成为AI系统的“木马通道”；

5.算力资产暴露

企业往往将大模型服务器视为普通Web服务器管理，忽略其GPU算力的特殊价值。攻击者通过自动化脚本扫描11434等特征端口，可快速定位存在Ollama未授权访问漏洞的"高价值目标"，形成新型的算力黑产攻击链。

值得注意的是，这些漏洞的利用无需复杂AI知识，仅依赖传统渗透技术即可完成，凸显AI供应链中传统安全漏洞的“放大效应”。

面对大模型领域中的复合型威胁，传统安全方案已显力不从心。作为WAF/WAAP技术的自然演进，启明星辰推出的天清MAF大模型应用防火墙继承了自身在应用安全领域的技术积淀，专为AI时代量身定制，成为守护大模型服务的“第一道城墙”。

✦ MAF实战拦截示例：

Probllama漏洞/未授权算力滥用风险自动化防御

针对CVE-2024-37032的路径遍历攻击，以及在攻击环节中，服务端的未授权访问配置可能带来的算力滥用甚至Dos风险，启明星辰MAF通过API流量深度解析与智能无界消费识别算法可实现精准拦截：

1.路径遍历载荷实时阻断

MAF内置的AI组件漏洞特征库预置Ollama路径遍历攻击指纹，通过动态解析registry服务器响应的digest字段，结合上下文语义分析（非常规路径层级、非标准字符编码），在攻击载荷到达Ollama服务前即完成拦截。

2.API 权限基线管控

针对Ollama默认无鉴权的高危特性，MAF提供动态身份验证增强功能：

• 强制实施API调用方身份校验（如JWT令牌/IP白名单），阻断未授权访问/api/chat、/api/pull等敏感接口；

• 精细化控制模型操作权限，禁止非管理账号执行registry拉取等高风险动作。

3.算力滥用行为防御

通过AI推理资源消耗基线建模，MAF可识别异常模型调用行为：

• 实时监控API请求频率，对单客户端短时间内的多次推理请求行为自动限速；

• 实时监控API响应耗时及响应内容，对单客户端异常的长耗时响应进行阻断或限速。

MAF默认防护模板已集成上述规则，用户无需调整业务代码即可获得自适应防护。

在大模型技术深度融入核心业务的今天，安全威胁呈现出三维叠加特征：其一，模型服务承载着企业知识资产与用户隐私数据，其高价值属性使其成为攻击者的首要目标；其二，Ollama路径遍历等传统漏洞在AI组件中的重现，使得攻击成本大为降低；其三，提示词注入、知识库污染等新型攻击范式持续涌现。构建覆盖"输入-处理-输出"全链路的一体化防护体系，已成为AI安全建设的刚性需求。

1.对抗AI原生新型攻击：智能语义防御中枢

针对大模型交互特性，MAF构建的多层检测矩阵：规则匹配、语义分析、AI检测算法，将大模型特有攻击拦截在推理环节之前，确保输入内容严格符合安全及监管策略。

2.阻断供应链漏洞传导：虚拟补丁防御网

基于WAAP（Web应用和API防护）技术积累，MAF内置针对AI组件（如Ollama、ComfyUI）的虚拟补丁规则，可实时拦截路径遍历、命令注入等传统攻击，阻断类似Probllama漏洞的利用链，在无需修改业务代码的情况下形成漏洞免疫能力，避免供应链漏洞影响业务主体的保密性、完整性与可用性。

3.守护服务稳定性：智能流量清洗引擎

面对新型DDoS攻击（如通过GPT接口发起的高频问答耗尽GPU资源），MAF采用多维度防护策略：基于用户行为基线实施动态QPS控制、通过客户端特征识别阻断自动化BOT流量、智能高资源占用响应识别，实时拦截异常推理请求，保障API服务高可用性。

4.构建合规输出防线：内容安全过滤器

MAF搭载敏感信息识别引擎，支持50+种隐私数据类型实时脱敏（如身份证/银行卡号模糊化）。同时通过多模态内容审查，拦截政治敏感、虚假信息等违规输出，内置的行业合规模板可满足金融、医疗等场景的差异化监管要求。

作为国内WAF领域的领军者，启明星辰在应用层安全领域深耕多年，其WAF/WAAP产品已覆盖API安全、Bot管理等扩展场景。MAF的推出标志着安全防护从“以Web为中心”向“以模型交互为中心”的范式转移。与仅依赖模型内生安全机制（如RLHF训练）不同，MAF通过外挂式部署，在不影响模型性能的前提下，提供独立于业务逻辑的安全边界，尤其适配企业混合云、边缘计算等复杂环境，并针对大模型特性进行三大升级：

1.多范式检测融合：结合规则匹配（第二范式）、大数据分析（第四范式）与大模型推理（第五范式），实现威胁检测精度与效率的双重提升；

2.灵活部署适配：支持云端、边缘、本地环境，无缝覆盖DeepSeek等模型的多样化业务场景；

3.外挂式轻量防护：无需与模型深度耦合，即可提供“无侵入”安全加固，对大模型应用威胁进行全链路的一体化覆盖，降低企业部署成本。

随着多模态大模型与边缘计算的普及，MAF将持续迭代：

1.AI对抗AI：利用大模型分析攻击模式，动态优化防御策略；

2.平行仿真防御：构建虚拟环境模拟攻击，提前预判未知威胁；

3.性能突破：优化时延与吞吐量，适配高实时性推理场景。