北京
来源:市场资讯
(来源:算法爱好者)
3 月 24 日,AI 开发圈爆发严重安全事件:月下载近亿次的 Python 库 LiteLLM 在 PyPI 官方仓库被植入恶意代码,无数开发者在毫不知情下遭遇密钥窃取。
LiteLLM 是连接 OpenAI、Anthropic 等大模型的通用网关,GitHub 星标超 4 万,是 AI 项目标配依赖。
本次攻击并非篡改 GitHub 源码,而是黑客入侵维护者 PyPI 发布账号,直接上传毒包,GitHub 干净、pip 安装有毒,防不胜防。
受影响版本为 1.82.7、1.82.8,恶意代码藏在启动文件中,运行 Python 或导入库即触发,无任何异常提示。
它会疯狂扫描环境变量,窃取 API Key、云服务密钥、数据库密码、SSH 凭证,再悄悄上传至黑客服务器,甚至能在 K8s 集群内横向渗透。
最可怕的是,你用着正常,密钥已经没了。
毒包仅在线约 3 小时便被下架,但已造成大范围传播。官方已发布安全版本,中招者必须立即升级并全量重置敏感密钥,仅卸载库远远不够。
这是典型的开源供应链投毒,再次敲响警钟:源码安全 ≠ 安装包安全,生产环境切勿盲目追新,固定版本、私有源、依赖扫描缺一不可。
(参考:LiteLLM 官方、火绒,本文经由 AI 优化)
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
