comfyui-running Security Report — Low Risk | ClawSafe

20 /100

comfyui-running

ComfyUI 全自动绘图 AI 助手 - 通过 CDP 控制浏览器和 REST API 执行工作流

ComfyUI 全自动绘图助手，代码功能与声明基本一致，存在轻微瑕疵（自动安装依赖无版本锁定）但无恶意行为

Skill Namecomfyui-running

Duration52.3s

Enginepi

✓

Safe to install

建议添加依赖版本锁定（requests>=2.28.0, websockets>=10.0）并完善权限声明

Findings 3 items

Severity	Finding	Location
Medium	自动安装依赖无版本锁定 Supply Chain _ensure_dependencies() 使用 pip install pkg -q 无版本锁定，可能安装最新版本引入兼容性问题 `subprocess.check_call([sys.executable, '-m', 'pip', 'install', pkg, '-q'])` → 改为 requests>=2.28.0, websockets>=10.0 明确版本要求	`lib/comfyui_automation.py:426`
Low	subprocess 进程执行未在文档声明 Priv Escalation 代码使用 subprocess.Popen 启动 ComfyUI main.py，但 SKILL.md 未声明此能力 `self.process = subprocess.Popen(cmd, cwd=self.comfyui_root, startupinfo=startupinfo, stdout=subprocess.PIPE, stderr=subprocess.PIPE)` → 在 SKILL.md 依赖或配置说明中补充说明工具会启动本地 ComfyUI 进程	`lib/comfyui_automation.py:94`
Info	config.json 标记敏感但内容无害 Doc Mismatch 预扫描标记 config.json 为敏感文件，实际内容为配置文件路径（端口、目录），无凭证或密钥 `{"comfyui_root": "H:\\...", "comfyui_port": 8188, "cdp_port": 9222}` → 可忽略，此为配置信息非敏感凭证	`config.json:1`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`WRITE`	✓ Aligned	SKILL.md 未声明写入 config.json，但为工具正常运行所需
Network	`READ`	`READ`	✓ Aligned	仅访问本地 127.0.0.1:8188 ComfyUI API
Shell	`NONE`	`WRITE`	✓ Aligned	comfyui_automation.py:94 使用 subprocess.Popen 启动 ComfyUI
Environment	`NONE`	`NONE`	—	_clean_env 仅清理代理变量，无敏感信息访问

13 findings

🔗

Medium External URL 外部 URL

http://127.0.0.1:9222/json

SHARING_PACKAGE.md:169

🔗

Medium External URL 外部 URL

http://127.0.0.1:8188/queue

SHARING_PACKAGE.md:172

🔗

Medium External URL 外部 URL

http://127.0.0.1:8188/history?per_page=5

SHARING_PACKAGE.md:175

🔗

Medium External URL 外部 URL

https://www.comfyorg.cn

SKILL.md:9

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/comfyui%E8%B5%84%E6%BA%90%E7%BD%91-ComfyUI%E8%B5%84%E6%BA%90%E5%AE%A3%E5%92%8C-orange?style...

SKILL.md:11

🔗

Medium External URL 外部 URL

https://www.comfyorg.cn/tutorial

SKILL.md:391

🔗

Medium External URL 外部 URL

https://www.comfyorg.cn/workflow

SKILL.md:392

🔗

Medium External URL 外部 URL

https://www.comfyorg.cn/kjqy/bbgj

SKILL.md:393

🔗

Medium External URL 外部 URL

https://www.comfyorg.cn/shop/1680.html

SKILL.md:394

🔗

Medium External URL 外部 URL

http://127.0.0.1:

comfyui_browser.py:61

🔗

Medium External URL 外部 URL

http://127.0.0.1:8188/history

完整使用教程（使用前建议查看）.md:129

🔗

Medium External URL 外部 URL

http://127.0.0.1:8188/prompt

完整使用教程（使用前建议查看）.md:170

🔗

Medium External URL 外部 URL

http://127.0.0.1:8188

新手教程.md:219

File Tree

19 files · 108.9 KB · 3887 lines

Python 10f · 2064L Markdown 4f · 1198L JSON 5f · 625L

├─ ▾ 📁 example_workflows

│ ├─ 📋 default_api_format.json JSON 79L · 1.2 KB

│ ├─ 📋 default.json JSON 418L · 7.0 KB

│ ├─ 📋 文生图_api_format.json JSON 59L · 1.1 KB

│ └─ 📋 文生图.json JSON 59L · 1.4 KB

├─ ▾ 📁 lib

│ ├─ 🐍 __init__.py Python 63L · 1.4 KB

│ ├─ 🐍 comfyui_automation.py Python 494L · 18.1 KB

│ └─ 🐍 comfyui_config.py Python 281L · 8.3 KB

├─ ▾ 📁 scripts

│ ├─ 🐍 comfyui_setup.py Python 231L · 6.7 KB

│ ├─ 🐍 gen_dance.py Python 27L · 790 B

│ ├─ 🐍 gen_handsome.py Python 25L · 778 B

│ ├─ 🐍 test_drive_detection.py Python 22L · 681 B

│ ├─ 🐍 test_fixes.py Python 63L · 2.1 KB

│ └─ 🐍 test_upgrade.py Python 134L · 3.7 KB

├─ 🐍 comfyui_browser.py Python 724L · 26.8 KB

├─ 🔑 config.json ⚠ JSON 10L · 508 B

├─ 📝 SHARING_PACKAGE.md Markdown 203L · 4.3 KB

├─ 📝 SKILL.md Markdown 401L · 11.1 KB

├─ 📝 完整使用教程（使用前建议查看）.md Markdown 232L · 5.1 KB

└─ 📝 新手教程.md Markdown 362L · 8.0 KB

Dependencies 2 items

Package	Version	Source	Known Vulns	Notes
`requests`	`*`	pip	No	无版本锁定，建议 requests>=2.28.0
`websockets`	`*`	pip	No	无版本锁定，建议 websockets>=10.0

Security Positives

✓ 仅访问本地 127.0.0.1 网络，无外部通信

✓ 无凭证收割、环境变量遍历、敏感文件访问

✓ 无 Base64 混淆、eval 执行、反分析技术

✓ 无远程代码下载、shell 管道执行

✓ 使用 CDP/WebSocket 控制本地浏览器而非恶意注入

✓ 代码结构清晰，注释完整

Scan Report

Findings 3 items

File Tree

Dependencies 2 items

Security Positives