【5: 極めて安全】ComfyUI の安全性調査レポート

• 対象AIサービス: ComfyUI
• 公式URL: https://www.comfy.org/ | https://github.com/comfyanonymous/ComfyUI
• 安全性レベル: 5: 極めて安全

エグゼクティブ・サマリー

法務判定: 導入可 - 企業・個人を問わず、積極的な導入を推奨
技術判定: 完全ローカル実行によるプライバシー完全保護、データ流出リスクなし
厚黒学的リスク: 極めて低（1/18項目のみ該当）
地政学的リスク: 極めて低（完全オープンソース、ローカル実行のためデータ主権侵害なし）

最終判定理由: ComfyUIは完全にローカルで実行されるオープンソースツールであり、ユーザーデータが外部に送信されることがない。GPL v3.0ライセンスによる強固な保護と、透明性の高い開発体制により、プライバシーとセキュリティの観点から最高レベルの安全性を確保している。

詳細調査結果 - 技術・法務分析とリスク評価

技術仕様の詳細検証

アーキテクチャとデプロイメント形態

提供形態: セルフホスト専用

• ソースコード: GitHub公式リポジトリ
• ライセンス: GNU General Public License v3.0
• 実行環境: Python 3.8+、ローカルマシンのみ

データフロー解析:

• 入力データ: 全てローカルファイルシステム上で処理
• 処理方式: ノードベースワークフロー（完全ローカル）
• 出力データ: ローカルファイルシステムに保存
• 外部通信: モデルファイルのダウンロード時のみ（任意）

セキュリティ認証とコンプライアンス

オープンソース透明性:

• 全ソースコードが公開されており、セキュリティ監査が可能
• GitHub上での活発な開発コミュニティ（58.6k stars）
• コミット履歴とレビュープロセスが完全に透明

データ保護実装:

# データはローカルファイルシステムのみで処理
# 例: models/checkpoints/, output/ ディレクトリ
# ネットワーク通信なし（モデルダウンロード除く）

過去のセキュリティインシデント分析

2024年6月 ComfyUI_LLMVISION事件:

• 影響範囲: サードパーティ拡張機能のみ（ComfyUI本体は無関係）
• 攻撃手法: Nullbulgeハッカー集団による拡張機能への悪意あるコード挿入
• 詳細: vpnMentor調査報告書
• 対応: 2025年1月セキュリティ強化策実装

現在の対策状況:

• 拡張機能レジストリでの自動セキュリティスキャン
• eval・exec関数の使用制限
• コード難読化の禁止
• ランタイムでのpip install制限

法的条項の逐条解析

ライセンス条項（GPL v3.0）

主要条項の詳細:

Section 4: Conveying Verbatim Copies
- ソースコードのコピー・配布を無制限で許可
- 著作権表示の保持義務

Section 5: Conveying Modified Source Versions  
- 改変版の配布時はソースコード開示義務
- 同一ライセンス（GPL v3.0）での配布義務

商用利用の法的分析:

• 個人利用: 完全自由、制限なし
• 企業利用: 内部利用は完全自由
• 商用配布: GPL v3.0準拠でソースコード開示義務あり
• SaaS提供: Webサービスとして提供する場合、ソースコード開示義務なし

参考: GitHub Discussion - 商用利用について

プライバシー・データ保護

ローカル実行によるプライバシー保護:

• ユーザーデータの外部送信なし
• プライバシーポリシー不要（データ収集なしのため）
• GDPR、CCPA等のコンプライアンス負担なし

開発者・組織背景の透明性分析

開発者プロフィール

主開発者: comfyanonymous

• 実名: 非公開（ハンドルネーム使用）
• 過去の所属: Stability AI（2024年6月まで）
• 現在の活動: Latent Space Podcast出演（2025年1月）
• 技術的背景: Stable Diffusion開発への深い関与

組織構造の透明性

Comfy Org（2024年6月設立）:

• 所在地: サンフランシスコ、アメリカ
• 法的性質: アメリカ法人
• 投資家: Pace Capital、Chemistry、Cursor VC等
• 組織理念: "オープンソースでありつづける"明言

主要開発者:

• Dr.Lt.Data: ComfyUI-Manager開発者
• pythongosssss: ComfyUI-Custom-Scripts開発者
• Kosinkadink: AnimateDiff-Evolved開発者

厚黒学的要素の具体的評価

厚黒学チェックリスト結果（1/18項目該当）

☑ セキュリティ監査情報の非開示（過去インシデントの詳細な技術情報）
☐ 誇張的キャッチコピー → 「最もパワフル」は技術的事実に基づく
☐ "無料"条件の隠蔽 → 完全無料、隠れたコストなし
☐ 導入実績の誇張 → GitHub Starsなど検証可能な指標
☐ 成功事例の検証不可能性 → オープンソースで全て検証可能
☐ フリーミアム中途解約ペナルティ → 該当なし（完全無料）
☐ ToS深層条項 → ToS自体が存在しない（GPL v3.0のみ）
☐ オプトアウト選択肢欠如 → ローカル実行のため該当なし
☐ 包括同意強制 → 同意プロセス自体が存在しない
☐ サブプロセッサ不透明 → 外部処理なし
☐ 一方的責任転嫁 → GPL v3.0で標準的な免責事項のみ
☐ 企業秘密による技術詳細開示拒否 → 全ソースコード公開
☐ 虚偽希少性演出 → 該当なし
☐ ステルスマーケティング → 該当なし
☐ AI倫理審査体制の不在 → ローカル実行で不要
☐ バイナリインストール権限濫用 → 標準的なPython環境のみ
☐ 牛蒡抜きデータ連携 → 外部連携なし
☐ 強制クラウド同期 → クラウド機能なし

セキュリティ監査情報について

現状の課題:
過去のComfyUI_LLMVISION事件において、攻撃の詳細な技術情報や対策の具体的実装については、セキュリティ上の理由で一部非公開となっている。

評価:
これはセキュリティ業界の標準的な慣行であり、攻撃手法の詳細公開は新たな攻撃を助長する可能性があるため、適切な対応と評価できる。

コンプライアンスリスク評価

国際データ保護法への適合性

GDPR（EU一般データ保護規則）:

• 適用対象: ローカル実行のため適用外
• 個人データ処理: なし
• データ主体の権利: 行使の必要なし

CCPA（カリフォルニア州消費者プライバシー法）:

• 個人情報の販売: なし
• 個人情報の開示: なし
• プライバシー権: 完全に保護

企業機密情報保護:

• 全データがローカル保存のため、情報漏洩リスクなし
• インターネット接続なしでの使用が可能

地政学的リスク評価

開発組織の法的管轄

Comfy Org:

• 登記地: アメリカ・カリフォルニア州
• 適用法: アメリカ連邦法・カリフォルニア州法
• データ保護: ローカル実行のため外国政府によるアクセス不可

主開発者の国籍:

• 公開情報なし
• ただし、ローカル実行のため国籍に関わらず安全性に影響なし

技術的独立性

依存関係の分析:

• PyTorch: Meta（アメリカ）開発のオープンソース
• NumPy: オープンソース、国際的な開発コミュニティ
• Pillow: オープンソース画像処理ライブラリ
• 重要: 全て西側諸国またはオープンソースコミュニティ開発

自薦・他薦の声

ベンダー自身の宣伝文句

公式サイト（comfy.org）:

"ComfyUIは100%無料でオープンソース―そして常にそうあり続けます。サブスクリプションなし、隠れたコストなし。制限なしに構築し、創造し、共有してください。"

GitHub README:

"最もパワフルでモジュラーな拡散モデルGUI、API、バックエンド"

出典: ComfyUI公式GitHub、2025年1月確認

技術専門家・インフルエンサーの評価

Latent Space Podcast（2025年1月）:
主開発者comfyanonymousへのインタビューで、技術的な透明性と開発哲学について詳細な議論を実施。
出典: AI Engineering for Art — with comfyanonymous

技術系YouTuber評価:

• "ComfyUIは編集時間を半分に短縮した"（フリーランス・グラフィックデザイナー John）
• "XYZプロット機能がデータプレゼンテーションを変革した"（データアナリスト Emily）

出典: PapeeGo ComfyUI Review 2024

Weird Wonderful AI Art（技術ブログ）:

"2023年後半にComfyUIに切り替えて以来、一度も振り返ったことがない。2024年の膨大で急速な採用拡大のおかげで、機能性と特徴において膨大な改善があった"

出典: Getting Started with ComfyUI in 2025

メディア報道・業界認知

NVIDIA公式サポート（2024年7月）:
NVIDIAがRTX Remixモディングソフトウェア内でComfyUIのサポートを発表。
出典: ComfyUI Wikipedia

Linux Foundation認定（2024年8月）:
Comfy OrgがLinux Foundationが創設したOpen Model Initiativeに参加。
出典: 同上

技術系求人市場での評価:
Contraフリーランスプラットフォームで、ComfyUI専門スキルの需要が急速に拡大。企業がAI画像・動画生成能力を求める傾向が強まっている。
出典: Best ComfyUI freelancers to hire in 2025

批判的意見・課題指摘

技術的な課題:

• "新しいComfyUI Desktopアプリケーションはバグが多い"
• "一部の共有ワークフローに問題がある"

出典: Toksta ComfyUI Review 2025

学習曲線:

• 初心者にとって複雑で、技術的な性質と学習曲線が参入障壁
• 上級ユーザー向けの高度な機能性との引き換え

出典: 同上

利害関係・スポンサーシップ:
調査した全ての評価について、有償スポンサーシップや利害関係は確認されていない。オープンソースツールの性質上、開発者からの直接的な金銭的インセンティブは存在しない。

主任アナリストが提案する追加調査項目

1. 長期的なガバナンス体制の持続性評価：Comfy Orgの組織運営と意思決定プロセスの透明性、主要開発者の離脱リスクと継続性計画について、企業として依存する場合の組織的リスクを評価する必要がある。

2. 拡張機能エコシステムのセキュリティ継続監査：サードパーティ製拡張機能（カスタムノード）の品質管理とセキュリティ監査体制の実効性について、定期的な第三者評価を実施する必要がある。

3. エンタープライズ利用における法的責任範囲の明確化：GPL v3.0ライセンス下での企業利用において、生成されたコンテンツの著作権・責任の所在と、AIモデルの学習データに起因する法的リスクについて詳細な法務検討が必要。

4. パフォーマンス・スケーラビリティの技術的制約評価：大規模な商用利用時のハードウェア要件とスケーラビリティ制約について、具体的なベンチマークデータとコスト分析が必要。

最終総括

ComfyUIは、現在利用可能なAI画像・動画生成ツールの中で最も安全性の高いソリューションの一つです。完全ローカル実行により、プライバシーとデータセキュリティの懸念が根本的に解決されており、GPL v3.0によるオープンソースライセンスが長期的な透明性と自由度を保証しています。

技術的には、ノードベースのワークフロー設計により高度な柔軟性を提供しながら、活発なコミュニティ開発により継続的な機能拡張が期待できます。2024年のセキュリティインシデントは適切に対処され、現在は強化されたセキュリティ体制の下で運営されています。

地政学的リスクは極めて低く、アメリカを拠点とする組織によるオープンな開発体制により、特定国家への技術的依存や政治的圧力のリスクは存在しません。

主任アナリストとして、ComfyUIを企業・個人を問わず積極的に推奨いたします。特に、データプライバシーを重視する組織や、AI技術を内製化したい企業にとって、現時点で最適な選択肢の一つと評価します。