Kleiner Hinweis aus der Welt "wie hacke ich die aufkommenden KI-Tools". Es gibt gerade die Meldung, dass das AI Tool ComfyUI von Cyberangreifern missbraucht wurde. Das Ganze zeigt, wie sich gerade eine Blase samt Sicherheitsrisiken aufbaut.
Was ist ComfyUI?
Auf dieser GitHub-Seite heißt es: "Mit ComfyUI können Sie mithilfe einer auf Graphen, Knoten und Flussdiagrammen basierenden Benutzeroberfläche fortschrittliche stabile Diffusionspipelines entwerfen und ausführen". Verfügbar ist das Tool für Windows, Linux und macOS. Das Manual gibt es hier.
Blog-Leser viebrix beschreibt ComfyUI so: Dies ist ein (sehr geniales) graphisches Userinterface das von comfyanonymous zu Beginn für Stable Diffusion Prozesse entwickelt wurde, um die dahinter stehenden Prozess besser zu verstehen und besser sehen zu können wie das Ganze funktioniert.
Die Software splittet die Aufgaben in einzelne 'Nodes' auf welche man dann flexibel miteinander verbinden kann. Dadurch können unterschiedliche Workflows entstehen, die ganz verschiedenen Zwecken dienen. Man kann damit eine Bandbreite von einem simplen Text zu Bild Generator, bis zu vielfältigen Videoerzeugung Algorithmen erzeugen, welche diverse graphische Korrekturen über Stile und Inhalte mitbringen.
Da dieser Bereich der KI sehr rasche Entwicklungen und Modelle mit sich bringt, ermöglicht es die Software auch, dass Custom Nodes entwickelt werden. Diese Custom Nodes bringen eigene Algorithmen und Modelle mit sich und können dann von Usern, wenn diese wollen installiert werden.
Dadurch wurde es möglich, dass Modelle oder Prozesse, die erst kürzlich in einem wissenschaftlichen Paper verfasst wurden, bereits nach wenigen Tagen als Software getestet werden können. Viele freiwillige programmieren hier in ihrer Freizeit an diesen Themen in typische Open Source Manier.
Übrigens ist ComfyUI eine KI Anwendung die komplett lokal laufen kann und somit keine Daten an externe sendet, zumindest solange man keine speziellen Nodes dafür installiert – oder sich dementsprechende Inhalte herunterladet, merkt der Leser an.
Cyberangriff auf ComfyUI
Vibrix schreibt im Diskussionsbereich (ich ziehe das mal hier rein): "Leider hat nun ein User (oder eine 'Hackergruppe') diesen Umstand genutzt und mit einer Custom-Node wurden auch gleichzeitig Python Pakete mit geschmuggelt, die keine offiziellen Versionen waren, sondern auch Schadcode enthalten. Aufgefallen ist dies durch Zufall, da ein User in einem Temp-Ordner seine Passwörter entdeckt hatte.
Dazu meinte der Leser: "Wie schon seit längerer Zeit von vielen befürchtet und als bedenklich eingestuft, zeichnen sich nun erste Angriffe auf AI Tools ab." Der Leser verweist auf den reddit.com-Thread PSA: If you've used the ComfyUI_LLMVISION node from u/AppleBotzz, you've been hacked.
Der Leser ergänzte zur Vollständigkeit halber, dass ComfyUI selbst nicht gehacked wurde und auch nicht mit Malware verseucht war. Vielmehr sei es vergleichbar mit einem Browser für den der User – eine "verseuchte" Extension die nicht vom Browserhersteller selbst ist – nachinstalliert hat.
Die Entwickler von ComfyUI arbeiten nun an verbesserter Sicherheit und haben auch schon Vorsichtsmaßnahmen gegen diesen Angriff gesetzt. Aber dieser Vorfall zeigt nun wieder einmal, dass Innovation und Sicherheit zwei Aspekte sind die oftmals konträr wirken. Wird in das eine investiert, kommt oft das andere zu kurz.
MVP: 2013 – 2016
