[AI] 1111的WebUI爆出嚴重遠程code執行漏洞

作者acininder (InInder)

看板C_Chat

標題[AI] 1111的WebUI爆出嚴重遠程code執行漏洞

時間Mon Oct 17 10:43:06 2022

只要你是用NovelAI的流出模型或是waifu diffusion 應該都裝了automatic1111的WebUI 但這個專案爆出在開啟--share或--listen時有遠程code執行的漏洞意思是任何人能遠端在你的電腦執行任意的惡意code 目前如果你用的是舊版本或一些fork出去的WebUI 預設可能是開啟share的檢查方法是看跑完產圖模型後出現的網址是不是除了local URL(0.0.0.0:7860)以外還有額外的gradio link 除此之外 "使用Colab也暴露在風險之下" 駭客可以進行任何javascript based的browser attack. 總之各位產圖之餘記得小心保護自己的電腦不然圖做著做著電腦被NTR了都不知道~ https://i.imgur.com/bB6Hx8I.png -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.163.84.235 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/C_Chat/M.1665974588.A.FD5.html

→ diabolica: 還以為奴隸銀行也有AI了 10/17 10:43

→ h0103661: 附圖車牌？ 10/17 10:48

→ acininder: AI產的沒車牌 10/17 10:49

推 LeeXX: 話說猴子那篇裝完是不是不等於有裝waifu 10/17 10:52

推 guogu: AI產的沒車牌總有關鍵字吧 10/17 10:55

→ LeeXX: 然後如果是這樣的話現在下載的1111會是有問題的嗎 10/17 10:55

推 an94mod0: 原文或來源呢？ 10/17 10:56

推 meatybobby: 有點觀念本來就會知道他public link不能隨便開啦 10/17 11:03

→ acininder: exploit詳細去github issue看 10/17 11:05

→ acininder: 這種東西吼雖然可以幫你包裝的猴子都能裝 10/17 11:06

→ acininder: 但裝了卻沒有一些背景知識支持你電腦簡直就像全裸 10/17 11:06

→ acininder: 這issue 2天前就出來了不懂的應該有些人中標了 10/17 11:07

→ acininder: 因為有些fork專案是預設幫你開啟share的 10/17 11:07

推 theone5566: 不是都用斷網路的電腦跑一成圖嗎 10/17 11:07

推 sdd5426: 看懶人包裝的猴子哪看得懂這些 10/17 11:14

→ yukitowu: 電腦裡沒防毒沒防火牆之類應該也搞不懂這在說啥 10/17 11:16

推 sniper2824: 你怎麼會覺得那些人看得懂啊 10/17 11:41

推 philip81501: 你自己也是NTR 別人的作品怎麼就會怕被NTR 呵 10/17 12:05

推 cloudnine25: 請問有出處嗎 10/17 12:32

推 vios10009: 除非你有特別設定打上外連指令，不然正常使用不會出現 10/17 12:32

推 orze04: 那你幹嘛開public link 10/17 12:48

→ orze04: 綠帽癖嗎 10/17 12:49

→ bh2142: 自己玩玩就好，還listen public ip? 10/17 13:32

→ bh2142: 有資安意識的人都不會把這東西expose到public ip上吧 10/17 13:33

推 twosheep0603: 這東西開public就是廣邀英雄帖啊w 10/17 13:37

→ acininder: 不是特別設定打上的問題主要是有些分支他預設幫你 10/17 13:43

→ acininder: 打上了那你就中招了 XD 10/17 13:43

→ spfy: 原始1111是預設關閉 10/17 14:02

→ acininder: 但用colab的話那就是預設開啟喔自己小心 10/17 16:30

推 kimono1022: 用猴子裝的怎解QAQ 10/17 18:52