AI 开发者常用库 litellm 遭遇严重供应链投毒,导致敏感凭证泄露,需立即检查版本并轮换密钥。
📝 详细摘要
详细分析了 litellm 库在 PyPI 被植入恶意代码的供应链攻击事件。攻击者利用 Trivy 漏洞窃取发布令牌,导致数千个依赖该库的项目受影响。恶意代码可窃取 SSH 密钥、云凭证及环境变量。Karpathy 对此发出警告,强调了依赖管理的风险。建议开发者立即检查 litellm 版本,若使用 1.82.7 或 1.82.8 版本,应视为凭证已泄露并立即轮换。
📊 文章信息
AI 评分:92
来源:宝玉(@dotey)
作者:宝玉
分类:软件编程
语言:中文
阅读时间:7 分钟
字数:1557
标签: litellm, 供应链攻击, 网络安全, Python, Karpathy