文章总结： CNNVD通报近期采集86个重要AI漏洞，涵盖广达、腾讯等厂商，含15个超危、33个高危及38个中危漏洞。典型漏洞包括LibreChat的SSRF攻击风险、Quanta平台的WebShell上传风险及ComfyUI-Manager的配置篡改风险。建议相关用户及时关注厂商升级补丁以修复安全隐患。 综合评分： 75 文章分类： 漏洞预警,AI安全

CNNVD | 人工智能重要漏洞通报（2026年第一期）

中国信息安全

2026年1月17日 12:44 北京

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线：010-82341063

漏洞情况

根据国家信息安全漏洞库（CNNVD）统计，近期（2025年12月8日至2026年1月11日）共采集重要人工智能漏洞86个，CNNVD对这些漏洞进行了收录。本周人工智能类漏洞主要涵盖了广达、腾讯、谷歌等多个厂商。CNNVD对其危害等级进行了评价，其中超危漏洞15个，高危漏洞33个，中危漏洞38个。

一

人工智能漏洞增长数量情况

近期CNNVD采集人工智能漏洞86个。

图1 近五周漏洞新增数量统计图

二

人工智能漏洞具体情况

近期共采集人工智能漏洞86个，包括广达、腾讯、谷歌等多个厂商的漏洞。其中超危漏洞15个，高危漏洞33个，中危漏洞38个。具体如表1所示：

表1 人工智能漏洞列表

三

重要人工智能漏洞实例

近期重要漏洞实例如表2所示。

表2 本期重要漏洞实例

1. LibreChat 代码问题漏洞（CNNVD-202601-1141）

LibreChat是LibreChat开源的一个免费、高度可定制的统一 AI 对话平台，具有在一个界面中聚合并运行来自任意厂商大模型的功能。

LibreChat 0.8.1-rc2版本存在代码问题漏洞，该漏洞源于默认配置中Actions功能缺少限制，攻击者利用该漏洞可以执行服务器端请求伪造攻击。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/danny-avila/LibreChat/releases

2. Quanta QOCA aim AI Medical Cloud Platform 代码问题漏洞（CNNVD-202601-928）

Quanta QOCA aim AI Medical Cloud Platform是中国台湾广达（Quanta）公司的一个人工智能医疗云计算整合平台，提供全面的AI模型开发工具，涵盖从AI开发到临床应用的全过程。

QOCA aim AI Medical Cloud Platform存在代码问题漏洞，该漏洞源于没有限制文件上传的类型，攻击者利用该漏洞可以上传并执行WebShell后门，从而在服务器上执行任意代码。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://www.qoca.net/solutions/aim

3. ComfyUI-Manager 安全漏洞（CNNVD-202601-865）

ComfyUI-Manager是Comfy Org开源的一款增强 ComfyUI 可用性的扩展程序。ComfyUI-Manager 3.38之前版本存在安全漏洞，该漏洞源于文件存储位置保护不足，攻击者利用该漏洞可以篡改配置与关键数据。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/Comfy-Org/ComfyUI-Manager/tags

（来源：CNNVD）

分享网络安全知识 强化网络安全意识

欢迎关注《中国信息安全》杂志官方抖音号

《中国信息安全》杂志倾力推荐

“企业成长计划”

点击下图 了解详情

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：中国信息安全 《CNNVD | 人工智能重要漏洞通报（2026年第一期）》