03:52一句pip install偷光所有密钥:Karpathy稱LiteLLM投毒為「軟體界最恐怖的事」地緣政治安全事件OpenAI 成員 Karpathy 指出,LiteLLM 開發工具遭遇供應鏈攻擊,導致用戶 SSH 密鑰等敏感資訊遭竊。中毒版本已從 PyPI 下架,惡意代碼可通過簡單安裝引發大規模泄露,攻擊暴露後僅存活約1小時。開發方已採取措施防止重犯。展開
00:48Slowmist CISO: LiteLLM Suffers PyPI Supply Chain Attack, Sensitive Information Such as Crypto Wallets and Cloud Credentials at Risk of Exposure安全事件LiteLLM Python AI 閘道庫因遭遇 PyPI 供應鏈攻擊,攻擊者可藉由 pip install litellm 指令竊取用戶敏感資訊,包括 SSH 密鑰、雲端服務憑證、Kubernetes 配置、Git 憑證等。展開
