1. Python库LiteLLM遭PyPI投毒攻击,Karpathy紧急警告,马斯克关注
一个在GitHub上拥有超过4万星、月下载量高达9700万次的Python核心库LiteLLM,在PyPI官方软件仓库中被植入了恶意代码。这一事件被AI领域知名人物、前特斯拉AI总监Karpathy通过长文推文紧急曝光,并引发了包括埃隆·马斯克在内的广泛关注。攻击者上传了包含后门的版本1.82.7和1.82.8,任何开发者通过简单的`pip install litellm`命令,都可能使自己的系统遭到入侵。目前,被攻破的版本已被PyPI撤回,相关隔离措施也已解除,但影响仍在评估中。 这是一次教科书级别的软件供应链攻击。恶意代码的功能极其危险,一旦安装,它会系统地窃取主机上的大量敏感凭证与数据,包括SSH密钥、各大云服务商(AWS/...