登录体验完整功能(收藏、点赞、评论等) — 已累计有 12529 人加入

PyPI发布开发者警示 假冒LiteLLM恶意包窃取云及CI/CD凭证

详情页推荐

近日,Python官方第三方软件包仓库PyPI向全球开发者发布安全警示,平台已排查发现多份伪装成热门AI中间件LiteLLM的恶意软件包,可静默窃取开发者本地存储的云服务访问密钥、CI/CD流水线凭证等核心敏感信息。据PyPI安全团队披露,涉事恶意包累计下载量已突破1.2万次,目前已全部做下架处理。

作为当前AI开发领域使用率最高的LLM调用中间件之一,LiteLLM因支持跨平台统一调度OpenAI、Anthropic、DeepSeek等近百家大模型服务接口,被全球超过20万AI开发者纳入技术栈,月均下载量超过300万次,也因此成为恶意投毒者的重点目标。

此次被发现的恶意包属于典型的“旁注攻击”产物,与官方LiteLLM包名仅存在1-2个字符的拼写差异,比如“litelllm”“litelmm”等变体,普通开发者很难通过肉眼识别。不少开发者为了节省时间,会直接复制搜索引擎里的安装命令,若搜索结果被恶意SEO污染,就很容易误装恶意包。

免责声明:本网站AI资讯内容仅供学习参考,不构成任何建议,不对信息准确性与完整性负责。