AI工具LiteLLM遭供应链投毒,数千企业面临数据泄露风险
创始人
2026-03-25 09:36:15
0次
3月24日,科技媒体cyberkendra报道,AI基础设施工具LiteLLM遭遇供应链投毒事件。LiteLLM是一个开源的AI API网关,支持开发者调用多家服务商的API,此次事件中,其在PyPI官方仓库发布的两个版本(1.82.7和1.82.8)被发现带有后门。这两个版本携带了“三阶段”攻击负载,包括凭据收集器、Kubernetes横向移动工具和伪装成系统遥测服务的持久后门。恶意版本已被撤下,安全版本确认为1.82.6。
此次攻击的技术手段表现出高隐蔽性,1.82.7版本将恶意代码隐藏在proxy_网页链接文件中,而1.82.8版本利用Python的.pth配置文件特性,使得恶意软件能在任何Python调用时触发。黑客通过伪造域名网页链接进行数据回传,窃取的数据包括SSH密钥、云服务凭据、Kubernetes机密等。安全公司EndorLabs调查发现,攻击由黑客组织TeamPCP发起,该组织此前曾入侵AquaSecurity的Trivy扫描器,而LiteLLM因使用Trivy工具而遭殃。
受影响用户应立即检查LiteLLM版本,并采取更换密钥、密码和令牌等措施,同时降级至1.82.6版本,并审计CI/CD流水线,以确保没有残留后门。
相关内容
热门资讯
小鹏GX旗舰SUV震撼上市:1...
5月15日,小鹏汽车宣布小鹏GX上市发布会将于5月20日19:30举行,同时全国试驾活动已经开启。小...
大众深度尽调小鹏汽车,合作车型...
5月15日,小鹏集团董事长、CEO何小鹏在“第十八届轩辕汽车蓝皮书论坛”上分享了与大众汽车合作的经历...
机器人分拣快递33小时不停歇,...
5月15日,人形机器人公司FigureAI进行了一项引人注目的直播挑战,展示了其人形机器人在快递分拣...
小鹏集团化布局未来,何小鹏预测...
5月15日,2026轩辕汽车蓝皮书论坛在广州举行。小鹏汽车董事长兼CEO何小鹏在论坛上宣布公司更名为...
小米YU7GT赛道红内饰曝光,...
5月15日,小米汽车对外展示了小米YU7GT的“赛道红”内饰设计,该设计采用红黑撞色风格,并配有专属...
xAI发布GrokBuild编...
5月15日,xAI公司发布了GrokBuild的早期测试版编程智能体,这一工具目前仅对SuperGr...
AI助力黑客攻破苹果系统:ma...
5月14日,华尔街日报报道,安全专家利用Anthropic公司的AI模型ClaudeMythos,在...
特斯拉FSD新规:驾驶员接管需...
5月15日,特斯拉对其全自动驾驶(FSD)功能的使用规定进行了修改,要求驾驶员在接管车辆时必须提供反...
给阿嬷的情书导演蓝鸿春分享电影...
羊城晚报全媒体记者罗仕、柳卓楠报道:5月14日下午,广州市侨办组织广州侨界代表观看电影《给阿嬷的情书...
创意茶咖成为打卡爆款、茶旅融合...
从深圳唤醒咖啡节到广州咖势潮流集市,以英德红茶为基底的创意咖啡成为年轻人的打卡爆款;在顺德碧桂园社区...