当前AI技术飞速发展，大模型已广泛应用于各个领域，为企业和社会带来巨大价值。然而，随着DeepSeek等开源大模型普及，大模型软件供应链的安全问题逐渐凸显。Probllama漏洞和ComfyUI投毒事件敲响了安全警钟，本文将深入剖析这些事件背后的攻防风险，揭示大模型供应链面临的挑战，并介绍启明星辰002439）MAF如何构建安全防线，守护大模型应用安全。

　　随着DeepSeek等开源大模型的普及，企业快速构建AI服务的能力显著提升，但大模型供应链的复杂性也催生了新的安全风险。如今，一条涵盖模型训练、部署以及应用的全新供应链已然成型，但其所潜藏的安全风险却被人们低估。

　　作为一款开源AI大模型部署平台，Ollama凭借其“傻瓜式”的便捷操作，在GitHub上收获了超过十三万的星标，并且Docker拉取次数达到数千万次，成为了简化AI模型打包与部署的首选工具。无独有偶，ComfyUI作为大模型图像生成领域最热门的框架之一，凭借其强大且灵活的节点化流程控制功能，在GitHub上也斩获了近七万星标，深受开发者的青睐。

　　作为算力密集型应用的核心载体，大模型系统不仅承载着千亿级参数的复杂运算，更因其部署环境普遍配置高性能GPU集群反向代理服务器的域名和ip，已成为攻击者眼中的高价值目标。根据资产测绘数据显示，当前暴露在公网的Ollama服务器中，约89%都未实施基础访问控制措施。

　　这种算力裸奔现象直接催生了新型攻击范式：攻击者可通过劫持未授权API接口，将大模型服务器转化为加密货币挖矿节点；或利用系统漏洞发起分布式拒绝服务攻击（DDoS），单次恶意推理请求即可消耗价值数万美元的算力资源。更严峻的是，被攻陷的模型服务器可能成为攻击跳板，通过横向渗透威胁企业核心数据资产。

　　近期曝光的Probllama漏洞与ComfyUI投毒事件，便揭示了传统安全缺陷在AI领域的延伸：

　　2024年6月，WizResearch披露的CVE-2024-37032（Probllama）漏洞显示，攻击者可借助路径遍历漏洞，向Ollama服务器发送恶意HTTP请求，进而覆盖系统文件，最终实现远程代码执行（RCE）。更为严峻的是，在默认配置下，Ollama的Docker版本会以root权限运行，并且将API端口直接暴露至公网。这些暴露在公网的服务器不仅面临远程代码执行风险，更可能成为算力劫持的跳板——某能源企业曾遭遇攻击者利用CVE-2024-37032漏洞植入门罗币挖矿程序，导致单台8卡A100服务器每日产生超300美元电费损失。

　　攻击者通过恶意registry拉取模型时，在digest字段注入路径遍历载荷（如../../../../etc/ld.so.preload），覆盖系统关键文件，强制服务器加载攻击者预埋的恶意共享库；

　　调用Ollama的/api/chat接口时，新进程会自动加载恶意库，在模型推理过程中加载恶意代码，最终实现对服务器的远程控制。

　　据CVE官方披露，ComfyUI历史上存在多种类型的漏洞，包括任意文件读取漏洞、远程代码执行漏洞、存储XSS漏洞等，相关漏洞已被分配了CVE编号，如CVE-2024-10099、CVE-2024-21574等。此外，ComfyUI还存在默认无身份鉴权机制的特性，攻击者可以直接访问部分公网部署的ComfyUI后台。

　　攻击者通过ComfyUI后台的模型加载功能，从Hugging Face平台下载并安装预先上传的恶意模型文件；

　　在模型加载过程中，ComfyUI使用Pickle进行反序列化操作，攻击者利用此逻辑执行恶意代码，从而控制受害者机器。

　　新兴工具代码库尚不成熟，易出现路径遍历、代码注入等经典漏洞；如上述的Probllama漏洞，则主要源于Ollama框架的路径遍历缺陷，允许攻击者通过恶意模型文件篡改系统配置，最终实现远程代码执行。其本质是传统软件供应链漏洞在AI基础设施中的再现；

　　ComfyUI攻击事件中，攻击者利用无鉴权的后台和pickle反序列化漏洞，通过加载社区的恶意模型文件植入远控木马。这暴露了AI框架对第三方模型文件的盲目信任问题；

　　Python的pickle模块、Keras的Lambda层等本用于提升开发效率的组件，却因缺乏安全设计成为AI系统的“木马通道”；

　　企业往往将大模型服务器视为普通Web服务器管理，忽略其GPU算力的特殊价值。攻击者通过自动化脚本扫描11434等特征端口，可快速定位存在Ollama未授权访问漏洞的高价值目标，形成新型的算力黑产攻击链。

　　值得注意的是，这些漏洞的利用无需复杂AI知识，仅依赖传统渗透技术即可完成，凸显AI供应链中传统安全漏洞的“放大效应”。

　　面对大模型领域中的复合型威胁，传统安全方案已显力不从心。作为WAF/WAAP技术的自然演进，启明星辰推出的天清MAF大模型应用防火墙继承了自身在应用安全领域的技术积淀，专为AI时代量身定制，成为守护大模型服务的“第一道城墙”。

　　针对CVE-2024-37032的路径遍历攻击，以及在攻击环节中，服务端的未授权访问配置可能带来的算力滥用甚至Dos风险，启明星辰MAF通过API流量深度解析与智能无界消费识别算法可实现精准拦截：

　　MAF内置的AI组件漏洞特征库预置Ollama路径遍历攻击指纹，通过动态解析registry服务器响应的digest字段，结合上下文语义分析（非常规路径层级、非标准字符编码），在攻击载荷到达Ollama服务前即完成拦截。

　　强制实施API调用方身份校验（如JWT令牌/IP白名单），阻断未授权访问/api/chat、/api/pull等敏感接口；

　　在大模型技术深度融入核心业务的今天，安全威胁呈现出三维叠加特征：其一，模型服务承载着企业知识资产与用户隐私数据，其高价值属性使其成为攻击者的首要目标；其二，Ollama路径遍历等传统漏洞在AI组件中的重现，使得攻击成本大为降低；其三，提示词注入、知识库污染等新型攻击范式持续涌现。构建覆盖输入-处理-输出全链路的一体化防护体系，已成为AI安全建设的刚性需求。

　　针对大模型交互特性，MAF构建的多层检测矩阵：规则匹配、语义分析、AI检测算法，将大模型特有攻击拦截在推理环节之前，确保输入内容严格符合安全及监管策略。

　　基于WAAP（Web应用和API防护）技术积累，MAF内置针对AI组件（如Ollama、ComfyUI）的虚拟补丁规则，可实时拦截路径遍历、命令注入等传统攻击，阻断类似Probllama漏洞的利用链，在无需修改业务代码的情况下形成漏洞免疫能力，避免供应链漏洞影响业务主体的保密性、完整性与可用性。

　　面对新型DDoS攻击（如通过GPT接口发起的高频问答耗尽GPU资源），MAF采用多维度防护策略：基于用户行为基线实施动态QPS控制、通过客户端特征识别阻断自动化BOT流量、智能高资源占用响应识别，实时拦截异常推理请求，保障API服务高可用性。

　　MAF搭载敏感信息识别引擎，支持50+种隐私数据类型实时脱敏（如身份证/银行卡号模糊化）。同时通过多模态内容审查，拦截政治敏感、虚假信息等违规输出，内置的行业合规模板可满足金融、医疗等场景的差异化监管要求。

　　作为国内WAF领域的领军者，启明星辰在应用层安全领域深耕多年，其WAF/WAAP产品已覆盖API安全、Bot管理等扩展场景。MAF的推出标志着安全防护从“以Web为中心”向“以模型交互为中心”的范式转移。与仅依赖模型内生安全机制（如RLHF训练）不同，MAF通过外挂式部署，在不影响模型性能的前提下，提供独立于业务逻辑的安全边界，尤其适配企业混合云、边缘计算等复杂环境，并针对大模型特性进行三大升级：

　　1.多范式检测融合：结合规则匹配（第二范式）、大数据分析（第四范式）与大模型推理（第五范式），实现威胁检测精度与效率的双重提升；

　　2.灵活部署适配：支持云端、边缘、本地环境，无缝覆盖DeepSeek等模型的多样化业务场景；

　　3.外挂式轻量防护：无需与模型深度耦合，即可提供“无侵入”安全加固，对大模型应用威胁进行全链路的一体化覆盖，降低企业部署成本。

　　启明星辰MAF凭借深厚的技术积累与前瞻性设计，不仅为DeepSeek等国产模型提供坚实防护，更开创了“大模型应用防火墙”新赛道。上述两个案例的启示在于，大模型安全并非孤立赛道，而是传统安全与AI特性的深度融合。MAF通过继承WAF/WAAP的技术基因，将应用安全能力扩展至大模型领域，为企业应对“新旧交织”的威胁提供了一体化解决方案。随着AI成为业务核心入口，MAF或将重塑下一代应用防火墙的行业标准，推动AI基础设施从“可用”向“可信”演进。

　　AI的浪潮不可逆转，但安全可以未雨绸缪。启明星辰MAF正以“传统安全基因+AI原生能力”的双重优势，护航中国企业驶向智能时代的广阔蓝海。