安德烈·卡帕西通过X平台披露,人工智能库litellm遭遇了PyPI(Python包索引)供应链攻击。据解释,用户仅需执行`pip install litellm`命令,便可能植入恶意代码,导致SSH密钥、AWS、GCP、Azure等主要云平台凭证、Kubernetes配置、Git凭证、环境变量、加密货币钱包、SSL私钥、CI/CD密钥以及数据库密码等敏感信息被盗。
攻击影响广泛
litellm是每月下载量约9700万次的热门软件包。有观点指出,此次攻击的影响不仅限于直接使用该库的开发者,还可能波及所有依赖litellm的项目(如dspy等)。含恶意代码的版本在发布后不到一小时即被发现并拦截。据称,攻击代码因存在缺陷,在卡勒姆·麦克马洪的设备上耗尽内存导致系统崩溃,这一异常现象使攻击行为得以暴露。
供应链安全引关注
卡帕西对此评价称:“供应链攻击是现代软件领域最具威胁性的问题之一。”他警告道,仅一次外部库安装操作,便可能使被篡改的软件包潜入依赖树的深层位置。鉴于此类风险,他正着力减少外部依赖,对于简单功能,倾向于直接利用大语言模型实现而非借助外部包。
此次事件再次表明,在开发、安全与运营全流程中,对开源依赖及软件包供应链安全性的审查需求正日益凸显。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
索拉纳ETF
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注