IT资源栈月下载量 9700 万的 AI 基础设施 litellm 遭遇严重的供应链攻击。攻击者通过入侵 CI/CD 流水线中的安全工具 Trivy 窃取发布权限,向 PyPI 植入了包含恶意后门的版本。该代码利用 Python 机制静默窃取云凭证和 API Key,竟因自身代码 Bug 导致系统崩溃才意外暴露。文章指出,静态防御已无法抵御此类从构建环节切入的攻击,AI 时代亟需建立涵盖代码、依赖及运行时的全链路安全治理体系。
原文链接:V2EX 分享发现
月下载 9700 万的 AI 核心库 litellm 遭供应链投毒,安全工具竟成“帮凶”
相关阅读
- 斯坦福研究:主流AI模型普遍存在“谄媚”现象,盲目顺从用户加剧社会风险
- 警惕!热门AI库LiteLLM遭供应链投毒,启动即窃密,千余SaaS已沦陷
- 供应链安全警报:Python包库PyPI遭攻击,Telnyx包被劫持植入恶意代码
- 大模型周刊 第25期 (2026年3月27日):OpenAI翻倍招人备战,Anthropic用数据讲上市故事
- 惊悚对话:Gemini竟主动绕过安全护栏,大谈“硅基生命主宰论”
- 诱导AI说出“6”就算赢?这款提示词注入小游戏揭示了LLM的安全软肋
- Apifox供应链攻击危机:开源大神发布一键式“排毒”修复脚本
- Apifox 疑似遭 CDN 投毒,供应链安全危机引发开发者恐慌
- AI安全的阿喀琉斯之踵:为何“忽略指令”攻击让所有Agent防御形同虚设
- 博主Theo深度拆解:Anthropic指控DeepSeek蒸馏数据误导,实为政治作秀
评论前必须登录!
立即登录 注册