大家好,这里是和你们一起探索 AI 的花生~
ComfyUI 是目前最受欢迎的开源 AI 绘画绘画工具之一,它具有极高的灵活性,只需安装对应的插件就可以自己搭建工作流,实现个性化出图或体验最新的 AI 模型。如果你是 ComfyUI 的深度用户,那么安装各类插件肯定是家常便饭了,不过最近出现的一起 ComfyUI 插件包含恶意病毒的事件,却让我们看到了开源社区自由繁荣背后的另一面,如果不提高防范意识,下一个受害的很可能就是我们自己。
相关推荐:
一、病毒插件 ComfyUI_LLMVISION
事情的起因是网友 @_roblaughter_ 在 Reddit 上发帖称一款名为 ComfyUI_LLMVISION 插件内含恶意程序,安装后会自动窃取浏览器数据,包括密码、信用卡信息和历史记录等,然后打包发送给攻击者。@_roblaughter_ 在安装此插件一周后收到自己的账号在多个服务上恶意登录的通知,于是紧急发帖提醒大家。
有人看到帖子后对 ComfyUI_LLMVISION 的代码库进行了分析,发现确实存在恶意植入病毒程序的痕迹,也就是说这是一次有预谋的黑客攻击。由于大家已经很习惯从 Github 上安装 ComfyUI 插件了,而之前也从未出现过这种情况,所以帖子迅速引起了更广泛地关注和讨论,不少人都担心之后会出现更多类似的恶意攻击行为。
好在问题出现后各方都很快做出了反应。 @_roblaughter_ 已经在发帖中详细介绍了如何检测并清除病毒程序,包括通过 pip 删除恶意包、检查系统文件、检查注册表、用杀毒软件对系统进行扫描、修改相关密码等,如果你发现自己有安装此插件,一定要记得及时处理。
Github 也已经封禁了 ComfyUI_LLMVISION 插件开发者的账号,ComfyUI Manager 的最新版本则新增一个检测器,会自动在后台进行安全扫描,如果检测到病毒威胁会提醒用户。
虽然此次的病毒插件没有带来大范围实质性的损害,但还是给我们敲响了一次警钟,毕竟这种事情之后还是有可能会发生。下面就为大家介绍几种方法 ,可以降低安装到病毒插件的几率。
二、防范方法
① 优先使用 ComfyUI Manager 安装
ComfyUI Manager 目前已经内置了安全检测器,其开发者在上架插件时也会做一些审核,因此它收录的插件包含病毒的可能性会更小。Manager 还会对插件开发者进行监测,活跃时长超过 6 个月的会有一个绿色对钩的认证标志,表明这个开发者处于正常活跃状态。如果一款插件 Manager 没有收录, 那么就需要谨慎一些,安装前最好再多找一些其他信息,来验证插件的安全性。
② 查看开发者主页
一般能开发 ComfyUI 插件的肯定是有一定经验的程序员,其 Github 主页上一定有很多活动痕迹,比如参与、关注、收藏的项目,注册时间、活跃天数、获取的成就等。有这些信息、特别是有与 ComfyUI 相关的信息时,就表明这是应该一个正常的账号,否则就需要注意了。
下面是 ComfyUI Mangager 的开发者 @Dr.Lt.Data 的 Github 主页,可以看到他的活跃度是非常高的,开发了不少 ComfyUI 相关插件,对社区贡献很大。而据网友反馈,ComfyUI_LLMVISION 开发者的 GitHub 账户在发布此插件前上没有任何实质性的活动,可能就是攻击者本人专门开了这个账号来发布病毒插件的。
③ 检查 Requirements 文件
我们可以在一款 Comfyui 插件的 github 代码库中找到一个名为 requirements.txt 的文件,用于安装插件所需的依赖项,保证其能正常运行。下图一、二显示的是正常的 requirements.txt 内容,字体为紫色,表示是从官方库直接下载相关项目;而图三是 ComfyUI_LLMVISION 的,可以看到与正常状态明显不同,因此我们可以通过这一点来判断该插件是否安全。
④ 提高警惕意识
如果你在使用 ComfyUI 或者运行某个插件的时候,电脑的杀毒软件弹出了安全提醒,一定要重视并尽快处理。比如立刻关闭 ComfyUI 并对电脑进行病毒查杀,找到出问题的程序文件看是否和 ComfyUI 有关,如果有就要马上修改相关的账号密码,也可以去相关社区发帖寻求专业人士的帮助,尽快清除病毒程序。
⑤ 检查插件代码
如果你本身就懂得编程,在安装插件前可以大致浏览一下它的代码,重点看一下那些容易被安装恶意程序的部分,就能有效减少相关风险。
那么以上就是本期为大家推荐的减少安装到 ComfyUI 病毒插件的 5 种方法,大家在享受开源工具带来的便利时,一定要也提高警惕、做好防范,有意识地保护自己的信息安全。
如果你想也掌握 ComfyUI 的用法,建议先从 Stable Diffusion WebUI 开始,它更适合初学入门,掌握后再学习 ComfyUI 也会更容易。 我最新制作的 《零基础 AI 绘画入门指南》是一门面向 AI 绘画零基础人群的系统课程,包含 Stable Diffusion WebUI 全面细致的用法教学,并提供配套资源,能帮你快速掌握这款目前最热门的 AI 绘画工具。
