随着生成式AI技术的快速发展，ComfyUI、Stable Diffusion WebUI 等AI开源组件已成为 AI 应用开发的基础设施。然而，在这些组件快速迭代的背后，一个容易被忽视的安全问题正在浮现：

AI开源组件的 Web 安全水位可能偏低，而其背后的高性能算力资源却成为黑产眼中的"香饽饽"

腾讯安全云鼎实验室长期聚焦于 

，对主流AI开源组件进行了系统性的安全分析，发现了多类普遍存在的安全隐患。本文是「AI开源组件安全风险分析」系列的第一篇，将重点分析AI开源组件中因

导致的安全漏洞——包括组件自身的设计缺陷，以及用户部署时的配置失误，并结合真实云上攻击案例进行深度剖析。后续我们将持续披露更多研究成果（如供应链安全，AI Infra安全等），敬请关注。

二、AI开源组件配置缺陷，一个普遍存在的安全问题

近年来，多个主流 AI 开源组件被披露存在因配置缺陷导致的高危问题。这类问题往往具有共同特点：

组件为了易用性/可扩展性，提供了“可远程触发的高权限能力”；而默认配置、暴露面判断或配套鉴权措施不足时，就会被攻击者利用

这些漏洞揭示了AI开源组件在安全设计上的共性问题：

为了追求功能的灵活性和易用性，可能忽视了安全边界的控制

在对 AI 组件生态进行横向观察时，我们发现 

Stable Diffusion WebUI（下称 SD WebUI）同样存在典型的“配置缺陷”风险

。更值得关注的是：即便某些保护机制已在项目侧引入，仍会因为“反向代理暴露、端口转发、多用户共享、升级滞后”等现实部署场景，导致公网中持续存在大量高风险实例。

三、深度分析：Stable Diffusion WebUI的配置缺陷

被披露，属于已知的Nday漏洞（CNVD-2023-81119）。

——通过 disable_extension_access 参数默认禁止公网环境下的远程扩展安装。

请所有用户立即检查并更新至最新版本，并参照本文末尾「安全配置建议」进行安全加固，避免因配置不当或版本滞后导致实例暴露于风险之中

漏洞的原理非常直接：攻击者可以远程安装恶意扩展插件，从而实现任意代码执行。 在SD WebUI的代码中，扩展安装流程会直接执行插件目录下的install.py脚本：

# SD WebUI 扩展安装代码（简化）
def run_extension_installer(extension_dir):
    path_installer = os.path.join(extension_dir, "install.py")
    if not os.path.isfile(path_installer):
        return
    
    try:
        env = os.environ.copy()
        env['PYTHONPATH'] = f"{script_path}{os.pathsep}{env.get('PYTHONPATH', '')}"
        
        # 危险：直接执行远程扩展的install.py脚本
        stdout = run(f'"{python}" "{path_installer}"', 
                    errdesc=f"Error running install.py for extension {extension_dir}")
        if stdout:
            print(stdout)
    except Exception as e:
        errors.report(str(e))

这意味着，一旦用户安装了恶意扩展，攻击者编写的任意Python代码就会在目标机器上执行。

CNVD-2023-81119漏洞披露后，SD WebUI官方的修复方案

是在安装远程插件之前增加了检查机制：

# 安装前的安全检查（官方修复）
if disable_extension_access == True:
    return  # 禁止远程安装扩展

这个参数是官方修复的核心，其值由多个启动配置共同决定：

# disable_extension_access 的判断逻辑
is_exposed_to_internet = any([
    cmd_opts.share,        # --share: 使用Gradio公共分享链接
    cmd_opts.listen,       # --listen: 监听0.0.0.0允许外部访问
    cmd_opts.ngrok,        # --ngrok: 使用ngrok隧道
    cmd_opts.server_name   # --server-name: 指定非默认服务器名称
])

disable_extension_access = is_exposed_to_internet and not cmd_opts.enable_insecure_extension_access

3.3 为什么公网仍存在大量可攻击实例

虽然官方已经默认对开到公网的服务加了限制，但我们实际发现

外网的机器多数都开启了扩展安装功能，可被此漏洞攻击

通过腾讯云主机安全和网络入侵等产品的安全感知能力，我们捕获到多起真实的云上 SD WebUI 失陷事件，以其中一次真实入侵事件为例，还原了攻击者从初始入侵到挖矿牟利的完整攻击链路。

整个攻击过程分为以下四个阶段：

五、核心问题：高性能算力成为黑产新目标，行业特点导致安全水位偏低

5.2 黑产的新目标：高性能GPU算力

5.3 为什么AI开源组件安全水位偏低

六、纵深防御：如何保护AI开源组件安全

面对AI开源组件的安全威胁，需要从网络边界到主机层面构建纵深防御体系。

腾讯云NDR 腾讯云容器安全入侵防御模块支持对漏洞的后利用恶意行为的检测

本文作为「AI开源组件安全风险分析」系列的第一篇，重点分析了因配置缺陷导致的安全漏洞。从ComfyUI-Manager到Stable Diffusion WebUI，我们看到：

腾讯安全云鼎实验室长期深耕云安全领域，持续关注AI生态的安全问题。

腾讯云提供完整的云原生安全产品矩阵，可有效应对AI开源组件面临的安全威胁：

随着生成式AI技术的快速发展，ComfyUI、Stable Diffusion WebUI 等AI开源组件已成为 AI 应用开发的基础设施。然而，在这些组件快速迭代的背后，一个容易被忽视的安全问题正在浮现：AI开源组件的 Web 安全水位可能偏低，而其背后的高性能算力资源却成为黑产眼中的"香饽饽"。

「AI开源组件安全风险」系列一：配置缺陷，让你的GPU沦为矿机

本文聚焦AI开源组件（如Stable Diffusion WebUI）因配置缺陷引发的安全漏洞，指出其易受远程代码执行攻击（如恶意扩展安装），导致GPU算力遭黑产滥用挖矿。文章结合真实案例，揭示漏洞原理、修复方案及公网暴露风险，并提出安全配置建议~

安全

人工智能

云计算

AI开源组件如StableDiffusionWebUI存在严重安全漏洞，攻击者可远程执行恶意代码窃取GPU算力。腾讯安全发现大量公网实例因配置缺陷暴露风险，建议立即更新版本并启用认证防护。高性能GPU成黑产目标，需加强AI组件安全防护措施。

安全分析

容器安全

云防火墙

主机安全

云主机

服务器

云原生

云安全

防火墙

容器

Python

2026新春采购季

4核4G3M云服务器 新用户低至38元/年！

tcss

文章

问答

视频

教程

学习中心

腾讯云实验室

直播

竞赛

腾讯云代码分析专区

腾讯iOA零信任安全管理系统专区

腾讯云架构师技术同盟交流圈

腾讯云数据库专区

腾讯云智能顾问专区

腾讯云原生专区

腾讯混元专区

腾讯云TCE专区

腾讯云Lighthouse专区

腾讯云HAI专区

腾讯云Edgeone专区

腾讯云存储专区

腾讯云智能专区

腾讯轻联专区 

腾讯云开发专区

TAPD专区

腾讯轻量云游戏服专区

腾讯云最具价值专家

腾讯云架构师技术同盟

腾讯云创作之星

腾讯云开发者先锋

腾讯云AI代码助手

云原生构建

TAPD 敏捷项目管理

Cloud Studio

SDK中心

API中心

命令行工具

功能1上新10个字符

功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符。

功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符。

功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符

功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符

功能4上新

文章&问答评论现已支持表情

全新交互，全新视觉，新增快捷键、悬浮工具栏、高亮块等功能并同时优化现有功能，全面提升创作效率和体验

社区富文本编辑器全新改版！诚邀体验～ 

精选全网热门MCP server，让你的AI更好用 🚀

💥开发者 MCP广场重磅上线！

涵盖代码开发、场景应用、自动测试全流程，助你从零构建专属AI助手

一站式MCP教程库，解锁AI应用新玩法

聚焦“写作效率、视觉美观与运行性能”三方面进行全面升级，为您提供更高效、稳定的创作环境

社区富文本&Markdown编辑器全新改版上线，欢迎大家体验!

诚挚邀请您参与本次调研，分享您的真实使用感受与建议。您的反馈至关重要，感谢您的支持与参与！

「AI开源组件安全风险」系列一：配置缺陷，让你的GPU沦为矿机

「AI开源组件安全风险」系列一：配置缺陷，让你的GPU沦为矿机

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐