文章总结： CNNVD通报显示，近期采集人工智能重要漏洞86个，涉及广达、腾讯等多家厂商，含超危15个及高危33个。重点漏洞包括LibreChat的SSRF漏洞、广达AI医疗平台任意代码执行漏洞及ComfyUI-Manager配置篡改漏洞。目前相关厂商已发布补丁，建议用户尽快升级以防范风险。 综合评分： 75 文章分类： AI安全,漏洞预警,漏洞分析

人工智能重要漏洞通报（2026年第一期）

原创

CNNVD CNNVD

CNNVD安全动态

2026年1月16日 19:57 北京

点击蓝字 关注我们

漏洞情况

根据国家信息安全漏洞库（CNNVD）统计，近期（2025年12月8日至2026年1月11日）共采集重要人工智能漏洞86个，CNNVD对这些漏洞进行了收录。本周人工智能类漏洞主要涵盖了广达、腾讯、谷歌等多个厂商。CNNVD对其危害等级进行了评价，其中超危漏洞15个，高危漏洞33个，中危漏洞38个。

一 人工智能漏洞增长数量情况

近期CNNVD采集人工智能漏洞86个。

图1 近五周漏洞新增数量统计图

二 人工智能漏洞具体情况

近期共采集人工智能漏洞86个，包括广达、腾讯、谷歌等多个厂商的漏洞。其中超危漏洞15个，高危漏洞33个，中危漏洞38个。具体如表1所示：

表1 人工智能漏洞列表

三 重要人工智能漏洞实例

近期重要漏洞实例如表2所示。

表2 本期重要漏洞实例

1. LibreChat 代码问题漏洞（CNNVD-202601-1141）

LibreChat是LibreChat开源的一个免费、高度可定制的统一 AI 对话平台，具有在一个界面中聚合并运行来自任意厂商大模型的功能。

LibreChat 0.8.1-rc2版本存在代码问题漏洞，该漏洞源于默认配置中Actions功能缺少限制，攻击者利用该漏洞可以执行服务器端请求伪造攻击。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/danny-avila/LibreChat/releases

2.  Quanta QOCA aim AI Medical Cloud Platform 代码问题漏洞（CNNVD-202601-928）

Quanta QOCA aim AI Medical Cloud Platform是中国台湾广达（Quanta）公司的一个人工智能医疗云计算整合平台，提供全面的AI模型开发工具，涵盖从AI开发到临床应用的全过程。

QOCA aim AI Medical Cloud Platform存在代码问题漏洞，该漏洞源于没有限制文件上传的类型，攻击者利用该漏洞可以上传并执行WebShell后门，从而在服务器上执行任意代码。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://www.qoca.net/solutions/aim

3. ComfyUI-Manager 安全漏洞（CNNVD-202601-865）

ComfyUI-Manager是Comfy Org开源的一款增强 ComfyUI 可用性的扩展程序。

ComfyUI-Manager 3.38之前版本存在安全漏洞，该漏洞源于文件存储位置保护不足，攻击者利用该漏洞可以篡改配置与关键数据。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/Comfy-Org/ComfyUI-Manager/tags

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：CNNVD安全动态 CNNVD CNNVD《人工智能重要漏洞通报（2026年第一期）》