中文 EN

扫描报告

扫描新文件

低风险 — 风险评分 20/100
上次扫描:11 小时前 重新扫描
20 /100
comfyui-running
ComfyUI 全自动绘图 AI 助手 - 通过 CDP 控制浏览器和 REST API 执行工作流
ComfyUI 全自动绘图助手,代码功能与声明基本一致,存在轻微瑕疵(自动安装依赖无版本锁定)但无恶意行为
技能名称comfyui-running
分析耗时52.3s
引擎pi
可以安装
建议添加依赖版本锁定(requests>=2.28.0, websockets>=10.0)并完善权限声明

安全发现 3 项

严重性 安全发现 位置
中危
自动安装依赖无版本锁定 供应链
_ensure_dependencies() 使用 pip install pkg -q 无版本锁定,可能安装最新版本引入兼容性问题
subprocess.check_call([sys.executable, '-m', 'pip', 'install', pkg, '-q'])
→ 改为 requests>=2.28.0, websockets>=10.0 明确版本要求
 lib/comfyui_automation.py:426
低危
subprocess 进程执行未在文档声明 权限提升
代码使用 subprocess.Popen 启动 ComfyUI main.py,但 SKILL.md 未声明此能力
self.process = subprocess.Popen(cmd, cwd=self.comfyui_root, startupinfo=startupinfo, stdout=subprocess.PIPE, stderr=subprocess.PIPE)
→ 在 SKILL.md 依赖或配置说明中补充说明工具会启动本地 ComfyUI 进程
 lib/comfyui_automation.py:94
提示
config.json 标记敏感但内容无害 文档欺骗
预扫描标记 config.json 为敏感文件,实际内容为配置文件路径(端口、目录),无凭证或密钥
{"comfyui_root": "H:\\...", "comfyui_port": 8188, "cdp_port": 9222}
→ 可忽略,此为配置信息非敏感凭证
 config.json:1
资源类型声明权限推断权限状态证据
文件系统 READ WRITE ✓ 一致 SKILL.md 未声明写入 config.json,但为工具正常运行所需
网络访问 READ READ ✓ 一致 仅访问本地 127.0.0.1:8188 ComfyUI API
命令执行 NONE WRITE ✓ 一致 comfyui_automation.py:94 使用 subprocess.Popen 启动 ComfyUI
环境变量 NONE NONE _clean_env 仅清理代理变量,无敏感信息访问
13 项发现
🔗
中危 外部 URL 外部 URL
http://127.0.0.1:9222/json
SHARING_PACKAGE.md:169
🔗
中危 外部 URL 外部 URL
http://127.0.0.1:8188/queue
SHARING_PACKAGE.md:172
🔗
中危 外部 URL 外部 URL
http://127.0.0.1:8188/history?per_page=5
SHARING_PACKAGE.md:175
🔗
中危 外部 URL 外部 URL
https://www.comfyorg.cn
SKILL.md:9
🔗
中危 外部 URL 外部 URL
https://img.shields.io/badge/comfyui%E8%B5%84%E6%BA%90%E7%BD%91-ComfyUI%E8%B5%84%E6%BA%90%E5%AE%A3%E5%92%8C-orange?style...
SKILL.md:11
🔗
中危 外部 URL 外部 URL
https://www.comfyorg.cn/tutorial
SKILL.md:391
🔗
中危 外部 URL 外部 URL
https://www.comfyorg.cn/workflow
SKILL.md:392
🔗
中危 外部 URL 外部 URL
https://www.comfyorg.cn/kjqy/bbgj
SKILL.md:393
🔗
中危 外部 URL 外部 URL
https://www.comfyorg.cn/shop/1680.html
SKILL.md:394
🔗
中危 外部 URL 外部 URL
http://127.0.0.1:
comfyui_browser.py:61
🔗
中危 外部 URL 外部 URL
http://127.0.0.1:8188/history
完整使用教程(使用前建议查看).md:129
🔗
中危 外部 URL 外部 URL
http://127.0.0.1:8188/prompt
完整使用教程(使用前建议查看).md:170
🔗
中危 外部 URL 外部 URL
http://127.0.0.1:8188
新手教程.md:219

目录结构

19 文件 · 108.9 KB · 3887 行
Python 10f · 2064L Markdown 4f · 1198L JSON 5f · 625L
├─ 📁 example_workflows
│ ├─ 📋 default_api_format.json JSON 79L · 1.2 KB
│ ├─ 📋 default.json JSON 418L · 7.0 KB
│ ├─ 📋 文生图_api_format.json JSON 59L · 1.1 KB
│ └─ 📋 文生图.json JSON 59L · 1.4 KB
├─ 📁 lib
│ ├─ 🐍 __init__.py Python 63L · 1.4 KB
│ ├─ 🐍 comfyui_automation.py Python 494L · 18.1 KB
│ └─ 🐍 comfyui_config.py Python 281L · 8.3 KB
├─ 📁 scripts
│ ├─ 🐍 comfyui_setup.py Python 231L · 6.7 KB
│ ├─ 🐍 gen_dance.py Python 27L · 790 B
│ ├─ 🐍 gen_handsome.py Python 25L · 778 B
│ ├─ 🐍 test_drive_detection.py Python 22L · 681 B
│ ├─ 🐍 test_fixes.py Python 63L · 2.1 KB
│ └─ 🐍 test_upgrade.py Python 134L · 3.7 KB
├─ 🐍 comfyui_browser.py Python 724L · 26.8 KB
├─ 🔑 config.json JSON 10L · 508 B
├─ 📝 SHARING_PACKAGE.md Markdown 203L · 4.3 KB
├─ 📝 SKILL.md Markdown 401L · 11.1 KB
├─ 📝 完整使用教程(使用前建议查看).md Markdown 232L · 5.1 KB
└─ 📝 新手教程.md Markdown 362L · 8.0 KB

依赖分析 2 项

包名版本来源已知漏洞备注
requests * pip 无版本锁定,建议 requests>=2.28.0
websockets * pip 无版本锁定,建议 websockets>=10.0

安全亮点

✓ 仅访问本地 127.0.0.1 网络,无外部通信
✓ 无凭证收割、环境变量遍历、敏感文件访问
✓ 无 Base64 混淆、eval 执行、反分析技术
✓ 无远程代码下载、shell 管道执行
✓ 使用 CDP/WebSocket 控制本地浏览器而非恶意注入
✓ 代码结构清晰,注释完整