PyPI上的Litellm 1.82.7和1.82.8版本被植入恶意代码,执行forkbomb导致系统内存耗尽。用户在新项目设置时发现异常行为,并在proxy_server.py中发现base64编码的有效载荷。这是一次针对流行AI/LLM集成库的关键供应链攻击。
背景
Litellm是一个流行的开源库,提供与各种大语言模型API交互的统一接口,广泛应用于AI应用开发。PyPI是Python包的官方仓库,此类攻击构成了严重的供应链安全威胁。
- 来源
- Hacker News (RSS)
- 发布时间
- 2026年3月24日 20:06
- 评分
- 9.0 / 10