AI

A collection of 4 posts
AI

NadMesh僵尸网络分析:AI服务时代的产品级威胁

概述 2026 年 7 月初,我们注意到一个用 Go 语言编写的僵尸网络正在向互联网大规模投递 Bot 样本。它把扫描、漏洞利用、凭证与 AI 服务情报收割整合在同一套自治平台里。由于其控制端在代码中自称 n4d mesh controller,我们将其命名为 NadMesh。 NadMesh 并非一次性的蠕虫爆发,而是一个长期迭代、目标明确指向 AI 基础设施与 MCP 生态的自治型僵尸网络。它区别于传统蠕虫的地方在于: * 自治扫描引擎:内置 90+ 个云服务商地址段,无人值守持续扩散 * 20+ 漏洞利用向量:覆盖 Redis、Docker、MCP、K8s 等多种服务的 RCE * AI 服务定向收割:通过 Shodan 搜集 ComfyUI、
13 min read
Backdoor

警惕AI扒手:Pickai后门正通过ComfyUI漏洞传播

背景 " 目前已有境外黑客组织利用ComfyUI漏洞对我网络资产实施网络攻击,伺机窃取重要敏感数据 " -- 来自 国家网络安全通报中心 2025年5月27日,国家网络安全通报中心发布预警,指出ComfyUI存在数个高危漏洞,且已被黑客组织利用,要求企业采取防护措施,避免网络与数据安全风险。显然,随着私有化部署AI模型的浪潮席卷各行各业,作为大模型图像生成领域的热门框架,ComfyUI在获得广泛应用的同时,也不可避免地成为了黑客攻击的重点目标。本文将介绍奇安信XLab视野中的攻击活动,并详细分析这些攻击活动的具体特征和危害方式。 让我们把时钟拨回到2025年3月17日,Xlab大网威胁感知系统检测到IP 185.189.149.151通过ComfyUI漏洞传播多个伪装成配置文件的VT 低检测ELF可执行程序(如config.json,tmux.conf,vim.json等)经过分析,我们确认这几个文件属于同一个后门木马,基于它们具有窃取AI敏感数据的能力,我们从扒手(pickpocket)一词获得灵感,将它命名为AI扒手,Pickai。 Pickai是一个由C+
13 min read