火星財經消息,Andrej Karpathy 在 X 平臺發文表示,litellm 遭遇 PyPI 供應鏈攻擊,僅需執行 pip install litellm 即可竊取 SSH 密鑰、AWS/GCP/Azure 憑據、Kubernetes 配置、git 憑據、環境變量、加密錢包、SSL 私鑰、CI/CD 密鑰及數據庫密碼。litellm 每月下載量達 9700 萬次,且風險會擴散至所有依賴 litellm 的項目,例如 dspy。被植入惡意代碼的版本上線時間不到約 1 小時,因攻擊代碼存在缺陷導致 Callum McMahon 的機器內存耗盡崩潰而被發現。Andrej Karpathy 表示,供應鏈攻擊是現代軟件中最具威脅的問題,每次安裝依賴項都可能在依賴樹深處引入被篡改的軟件包,他因此越來越傾向於減少依賴,轉而使用 LLM 直接實現簡單功能。
litellm 遭遇 PyPI 供應鏈攻擊,簡單安裝即可竊取 SSH 密鑰等全部敏感憑據
來源
免責聲明:以上內容僅為作者觀點,不代表Followin的任何立場,不構成與Followin相關的任何投資建議。
喜歡
收藏
評論
分享
