随着 DeepSeek R1 等开源大模型的火爆,越来越多的开发者、企业甚至开始尝试在本地部署大语言模型,享受 AI 带来的便利。
然而近期腾讯混元安全团队-朱雀实验室发现:这些广受欢迎的 AI 工具中有不少存在安全隐患。如果使用不当,攻击者可能窃取用户数据、滥用算力资源,甚至控制用户设备。
在见证行业多个 AI 系统因安全漏洞陷入被动后,我们选择用工程师的方式回应:
做一把简单趁手的"安全体检工具箱"——AI-Infra-Guard,让每个开发者都能快速诊断系统风险。
AI 基础设施存在哪些安全风险?
比如:
- 个人开发者在 docker 中部署 ollama 测试模型,却发现 GPU 算力一直被占有?
- 创业公司因 ComfyUI 插件漏洞导致其未发布的模型泄漏被窃取?
- 工程师通宵定位推理服务卡顿问题,最终发现是 Triton 漏洞导致服务器被挖矿?
Ollama、OpenWebUI、ComfyUI 这些名字是不是耳熟能详?多少大模型教程里都离不开它们。然而不正确的使用会造成重大安全隐患。
Ollama
Ollama 是一个广泛使用的开源应用程序,可以在本地部署和操作大型语言模型,现在已成为最流行的的个人电脑跑大模型的方案,网络上大部分本地部署大模型的文章也是推荐的此工具。
Ollama 默认启动时会开放 11434 端口,并在此端口上使用 restful api 执行核心功能。默认情况下 ollama 只会在本地开放端口,但是在 Ollama 的官方 docker 中,默认开放到公网上。
ollama 对这些接口普遍没有鉴权,导致攻击者扫描到这些 ollama 的开放服务后可以进行一系列攻击。
模型删除
通过删除接口删除模型。
模型窃取
ollama 支持自定义镜像源,自建一个镜像服务器,通过查看已安装模型,再通过上传接口即可获得私有模型文件。
算力窃取
通过查看已安装模型,之后用对话接口请求对话,窃取了目标机器的算力。
模型投毒
通过下载接口下载有毒的模型,接着通过删除接口删除正常模型,再通过模型复制接口接口迁移有毒模型到正常模型路径,通过有毒模型污染使用者的对话。
ollama 远程命令执行漏洞【CVE-2024-37032】
ollama 在去年 6 月爆发过严重的远程命令执行漏洞【CVE-2024-37032】,允许远程代码执行(RCE),CVSSv3 评分为 9.1。通过自建镜像伪造 manifest 文件,实现任意文件读写和远程代码执行。漏洞影响 Ollama 0.1.34 之前的版本
OpenWebUI
openwebui 是现在最流行的大模型对话 webui,包含大模型聊天,上传图片,RAG 等多种功能且方便与 ollama 集成。也是现在 deepseek 本地化部署常见的搭配。openwebui 在历史上也出现过严重漏洞。
【CVE-2024-6707】
用户上传文件时,文件会被存储到静态上传目录。上传文件名可伪造,未进行校验,通过构造特殊的文件名,将文件写入至任意目录从而导致恶意代码或命令执行风险。
ComfyUI
除了文生文大模型,文生图模型也是非常热点的领域。ComfyUI 是现在最流行的 diffusion 模型应用,因其丰富的插件生态和高度定制化节点闻名,常用于文生图、文生视频等领域。
ComfyUI 和 Ollama 一样,开发者最初可能只想在本地使用,没有任何鉴权方式,目前也有大量开放到公网的 ComfyUI 应用。
ComfyUI 因为插件生态闻名,但是插件的作者一般为个人开发者,对安全性没有太多审查,腾讯朱雀实验室在去年就发现多个 ComfyUI 及其插件漏洞。
朱雀实验室历史发现漏洞:
以上大部分漏洞影响 ComfyUI 全系列核心代码(包含目前最新版本),部分流行插件,影响包括远程命令执行、任意文件读取/写入,数据窃取等。
从 DeepSeek 看大模型基础设施的安全挑战
作为中国 AI 领域的标杆企业,DeepSeek 在突破性模型研发与工程实践上展现了卓越能力。然而,在上线初期,也因基础设施配置和组件安全问题遭遇了大量攻击。
如何精准识别基础设施组件的安全配置缺陷、CVE 漏洞等,是行业共性难题,也展现了 AI 基础设施安全防护的复杂与挑战。这类问题往往源于 AI 基础设施的快速迭代特性——开发团队需要同时应对模型优化、算力调度、组件集成等多重技术挑战,疏忽了常见底层组件默认开放端口且无需认证的特性,也极易在架构设计中被简化为『内网环境无需防护』的误判。
AI-Infra-Guard 正是为解决此类痛点而生。通过深度集成 AI 常用组件(不仅包含数据库类别,也包含 AI 推理、部署、训练、应用、工作流等的常见开源组件)的安全基线检测能力,该工具可自动识别未授权访问、历史 CVE 漏洞暴露等风险。
AI-Infra-Guard: AI 风险一键检测
AI Infra Guard(AI Infrastructure Guard) 是一个高效、轻量、易用的 AI 基础设施安全评估工具,专为发现和检测 AI 系统潜在安全风险而设计。目前已经支持检测 30 种 AI 组件,并基于团队对大模型供应链安全漏洞的研究、不仅支持常见的 AI 应用 dify、comfyui、openwebui,也支持像 ragflow、langchain、llama-factory 等开发训练框架的指纹识别以及的漏洞检测。
支持 WebUI 界面,让安全检测更直观。
- 对于个人用户,可以使用本地评估功能,将对本地开放端口进行检查,识别 AI 组件,并给出安全建议。
- 对于开发者/运维,可以使用远程评估功能,检测部署 AI 服务的安全性,可以直接输入 ip/域名一键评估。
使用友好
1. 零依赖,开箱即用,编译后的二进制文件极小
2. 内存占用< 50MB,扫完千节点集群不卡顿
3. 跨平台兼容,同时支持 Windows/MacOS/Linux
4. WEBUI 支持,点几下鼠标就能一键检测
AI 组件漏洞覆盖
AI-Infra-Guard 目前已支持检测主流 AI 框架和应用的众多漏洞:
使用说明
启动 webui 可视化检测:
ai-infra-guard -ws对于开发者/运维,也提供命令行参数,方便各功能与 CI/CD 等自动化系统集成:
# 本地检测
ai-infra-guard -localscan
# 单个目标
ai-infra-guard -target [IP:PORT/域名]
# 多个目标
ai-infra-guard -target [IP:PORT/域名] -target [IP:PORT/域名]
# 扫描网段寻找 AI 服务
ai-infra-guard -target 192.168.1.0/24
# 从文件读取目标扫描 ai-infra-guard -file target.tx写在最后
我们从不相信‘绝对安全’的传说,
但至少可以让漏洞的发现速度,
比黑客的咖啡凉得更快一些。
AI Infra Guard 是混元安全团队-朱雀实验室在过去一年里,围绕混元大模型安全开展深入研究和实践的基础上,逐步落地的一套大模型软件供应链安全解决方案。我们将 AI-Infra-Guard 完全开源,让每个团队和开发者都能免费使用,保护 AI 基础设施免受软件供应链攻击的威胁。
还记得文章开头提到的那些安全漏洞吗?每个使用大模型的团队都可能在不知不觉中面临这些风险。不管是个人开发者还是运维团队,我们做了一个最直观的“安全评分”方式来展示当前系统的安全问题。
通过以下几步,查看你 AI 系统的评分:
- 下载地址:(https://github.com/Tencent/AI-Infra-Guard/releases),挑个适合你系统的版本。
- 一键开测:运行 ai-infra-guard -ws,打开浏览器,查看你的安全评分。
本项目已进入 DeepSeek 官方 Awesome DeepSeek Integrations推荐应用清单。
欢迎大家 Star、体验并反馈,特别想对参与共建的同行者说:
”你们推送的每一个 commit,都在重新定义 AI 世界的安全水位线。”
END
作者:朱雀实验室
文章来源:腾讯技术工程
推荐阅读
更多腾讯 AI 相关技术干货,请关注专栏腾讯技术工程 欢迎添加极术小姐姐微信(id:aijishu20)加入技术交流群,请备注研究方向。
