|
2023年,以ChatGPT为代表的人工智能技术迅猛发展;2024年12月,中央经济工作会议将“开展'人工智能+’行动,培育未来产业”列为2025年重点任务;2024年末,来自杭州的DeepSeek以低成本、高性能和开源为特征走出AI大模型中国特色,并引发中国与世界的关注。DeepSeek强调科学推理和数学计算能力,中文语义分析和表述能力强,对中文更加友好,短时间内就在国内掀起了本地化部署巨大热潮。与此同时,DeepSeek及其相关组件的安全问题也成为不容忽视的挑战。DeepSeek等人工智能应用的本地化部署主要依赖于Ollama、ComfyUI、Open WebUI等组件,可能存在不同程度的网络安全风险。 01 Ollama作为一个开源的大型语言模型服务工具,其核心优势在于为用户提供了一个在本地机器上便捷部署和运行大型语言模型的平台。通过Ollama,用户可以轻松在自己设备上运行诸如DeepSeek、Llama、Falcon、Qwen2、Llama3、Phi3等先进的大型语言模型,从而实现更高效、更灵活的语言模型应用。 安全风险 在实际部署过程中,Ollama可能存在一定的风险: 1 Ollama默认监听11434端口,默认配置情况下,此端口对公网开放访问,可能存在被互联网用户在未授权情况下进行访问的风险。 2 Ollama 0.1.34之前的版本存在任意文件读取、远程命令执行漏洞(CVE-2024-37032)。 未授权访问风险验证方法 1 借助于Nmap、Masscan等扫描工具,网络管理者可以快速收集开放11434端口的IP地址,也可以使用FOFA等网络空间资产搜索引擎搜索开放11434端口的IP地址。 2 当收集到开放11434端口的IP地址之后,可以利用ChatBox AI工具尝试连接Ollama服务。Chatbox AI是一款支持多平台的AI客户端应用和智能助手,支持Windows、MacOS、Linux、Android、iOS以及网页版,通过此工具可以轻松连接到互联网上暴露的Ollama服务。  图1 利用ChatBox AI工具尝试连接Ollama服务 3 连接成功之后,就可以进行对话了。  图2 利用ChatBox AI工具利用Ollama服务 任意文件读取漏洞验证方法 1 首先在本地部署Ollama服务,版本号0.1.33。可拉取Docker镜像,开启Ollama服务,监听11434端口。命令如下:  2 利用curl命令检测Ollama服务是否正常运行。  图3 利用curl命令检测Ollama服务状态 3 下载漏洞验证程序(Proof of concept,PoC),运行命令如下:
 图4 漏洞验证程序相关文件 4 修改poc.py和server.py文件中的host参数及target_url参数为目标IP地址,运行server.py后再运行poc.py,可读取到/etc/passwd文件的内容,漏洞验证成功。   图5 修改漏洞验证程序文件  图6 成功读取到目标文件 安全加固建议 使用Ollama开源工具部署DeepSeek后,建议检查本地部署配置,评估潜在的安全风险,并采取必要的加固措施。加固措施如下: 1 限制Ollama服务监听的IP地址,默认监听0.0.0.0(监听全部目的IP地址)改为127.0.0.1,只监听本地发来的数据包。 2 配置防火墙规则,严格控制允许访问Ollama服务的IP地址范围和端口。 3 启用身份验证与访问控制。 4 使用反向代理服务器(如Nginx)作为Ollama服务的前端,隐藏Ollama服务的真实IP地址和端口,在此基础上,可通过过滤规则提供额外的安全防护功能。 02 ComfyUI是一个基于节点流程的Stable Diffusion(稳定扩散)的AI绘画操作界面,用户可通过自定义节点、拖拽连线实现精准的工作流定制与可靠复现,以完成更复杂的、自由度更高的图像生成工作。ComfyUI采用插件的模式,因此具有很高的自由度和拓展性,与此同时也存在着安全风险。 安全风险 1 ComfyUI构建了插件生态,但是由于插件数量众多,质量参差不齐,多个插件存在安全漏洞。 表1 ComfyUI插件安全漏洞(部分)  2 攻击者可能采用供应链攻击的思路,制作“带毒”的插件,留有“后门”或其他危害代码。 任意文件读取漏洞验证方法 ComfyUI使用较低版本的aiohttp组件作为Web服务器,在启用follow_symlinks选项的情况下配置静态路由,可导致任意文件读取漏洞。攻击者可以利用此漏洞读取应用源代码、数据库配置文件等,导致ComfyUI网站处于极度不安全的状态。版本号大于等于1.0.5且小于3.9.2的aiohttp存在此漏洞。验证方法如下: 1 利用aiohttp模块编写WEB启动文件。  图7 利用aiohttp模块编写WEB启动文件 2 启动WEB服务。 图8 运行启动文件启动WEB服务 3 发送漏洞利用载荷(payload)请求,可读取到系统相关文件,漏洞验证成功。 图9 成功读取到目标文件 插件Impact-Pack 被加密货币挖矿恶意软件入侵 广泛使用的 ComfyUI 插件 Impact-Pack已经被加密货币挖矿恶意软件入侵,此插件的一个依赖包 Ultralytics 存在可疑的活动,受影响的Ultralytics版本为8.3.41和8.3.42。 病毒通过恶意修改的 Ultralytics 包自动下载并执行恶意程序,连接到可疑的矿池地址(connect.consrensys.com:8080)进行挖矿操作。病毒在后台悄无声息地运行,严重占用系统资源,并会自动删除执行文件以逃避检测。 图10 挖矿恶意软件入侵Ultralytics引发讨论 安全加固建议 大量的社区插件,大量的Python依赖,导致ComfyUI 插件鱼龙混杂。使用ComfyUI时,应时刻保持警惕,如果设备CPU负载过高,就要检查是不是中了病毒(挖矿)。 此外,由于漏洞修复缓慢,ComfyUI最新版本目前仍然存在漏洞,不建议将其暴露公网使用。 03 Open WebUI是一个可扩展、功能丰富、用户友好的自托管Web用户界面,支持离线运行和多种LLM(大型语言模型)运行器,因其直观界面、响应式设计、快速响应等特性,目前广受部署了DeepSeek大模型用户的欢迎。在实际部署过程中,也存在一些安全风险。 安全风险 1 Open WebUI 0.1.105版本存在文件上传漏洞(CVE-2024-6707)。 2 未部署加密通信(HTTPS)可能导致中间人攻击、Cookie泄露引发权限提升等风险。 文件上传漏洞风险 攻击者可通过上传恶意模型(如包含Python序列化对象的文件),反序列化后执行任意代码,或通过上传authorized_keys实现远程命令执行。 图11 文件上传漏洞验证流程 安全加固建议 1 定期升级Open WebUI,尽量使用最新的版本。 2 加强文件上传的安全管理,严格限制文件上传目录的权限。 04 综上所述,DeepSeek等人工智能大模型由于新的架构和机制存在不少安全风险,为确保本地化部署长期稳定和可靠运行,需要持续强化Ollama、ComfyUI、Open WebUI等相关组件的网络安全防护工作。我们在尝试和体验人工智能带来的高效率服务同时更要关注它带来的网络安全风险和问题。 作者:李雪、刘光磊、李锁钢(赛尔网络CERNOC安全小组) |
|
|
