国家漏洞库CNNVD：人工智能重要漏洞通报（2026年第一期）

漏洞情况

根据国家信息安全漏洞库（CNNVD）统计，近期（2025年12月8日至2026年1月11日）共采集重要人工智能漏洞86个，CNNVD对这些漏洞进行了收录。本周人工智能类漏洞主要涵盖了广达、腾讯、谷歌等多个厂商。CNNVD对其危害等级进行了评价，其中超危漏洞15个，高危漏洞33个，中危漏洞38个。

一、人工智能漏洞增长数量情况

近期CNNVD采集人工智能漏洞86个。

图1 近五周漏洞新增数量统计图

二、人工智能漏洞具体情况

近期共采集人工智能漏洞86个，包括广达、腾讯、谷歌等多个厂商的漏洞。其中超危漏洞15个，高危漏洞33个，中危漏洞38个。具体如表1所示：

表1 人工智能漏洞列表

三、重要人工智能漏洞实例

近期重要漏洞实例如表2所示。

表2 本期重要漏洞实例

1. LibreChat 代码问题漏洞（CNNVD-202601-1141）

LibreChat是LibreChat开源的一个免费、高度可定制的统一 AI 对话平台，具有在一个界面中聚合并运行来自任意厂商大模型的功能。

LibreChat 0.8.1-rc2版本存在代码问题漏洞，该漏洞源于默认配置中Actions功能缺少限制，攻击者利用该漏洞可以执行服务器端请求伪造攻击。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/danny-avila/LibreChat/releases

2. Quanta QOCA aim AI Medical Cloud Platform 代码问题漏洞（CNNVD-202601-928）

Quanta QOCA aim AI Medical Cloud Platform是中国台湾广达（Quanta）公司的一个人工智能医疗云计算整合平台，提供全面的AI模型开发工具，涵盖从AI开发到临床应用的全过程。

QOCA aim AI Medical Cloud Platform存在代码问题漏洞，该漏洞源于没有限制文件上传的类型，攻击者利用该漏洞可以上传并执行WebShell后门，从而在服务器上执行任意代码。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://www.qoca.net/solutions/aim

3. ComfyUI-Manager 安全漏洞（CNNVD-202601-865）

ComfyUI-Manager是Comfy Org开源的一款增强 ComfyUI 可用性的扩展程序。

ComfyUI-Manager 3.38之前版本存在安全漏洞，该漏洞源于文件存储位置保护不足，攻击者利用该漏洞可以篡改配置与关键数据。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/Comfy-Org/ComfyUI-Manager/tags

声明：本文来自CNNVD安全动态，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。