最新上传的LiteLLMPython 版本1.82.7和1.82.8，已被人为恶意植入信息窃取程序。 一旦安装，SSH密钥、AWS凭证和API密钥等数据均会立即泄漏。 目前LiteLLM的维护者Krrish Dholakia，已经公开证实此事。 在恶意版本存在三小时后，PyPI迅速发现了这一漏洞，并将软件包隔离。但LiteLLM每天下载量约为340万次，许多自动安装新版本的程序员已经遭殃。 社区迅 ...

编辑｜冷猫这是一件极其严肃的软件安全事件。今天，Karpathy 发长推文警告全部开发者注意，GitHub 超过 4 万星，月下载量达 9700 万次的 Python 库 LiteLLM 在 PyPI 上被投毒。首先提请各位开发者检查自己的 ...

慢雾首席信息安全官 23pds 发推表示，月下载量高达 9700 万次的 Python AI 网关库 LiteLLM 遭遇 PyPI 供应链攻击，攻击者通过 pip install litellm 指令即可在用户设备上窃取敏感信息。可窃取的敏感数据包括：SSH 密钥、云服务凭据（AWS / GCP / Azure）、Kubernetes 配置文件、Git 凭据、环境变量中的 API 密钥、Shel ...

说明：如果访问 GitHub 比较慢的话，可以关注我的知乎账号（Python-Jack），上面的“从零开始学Python”专栏（对应本项目前 20 天的内容）比较适合初学者，其他的专栏如“数据思维和统计思维”、“基于Python的数据分析”、“说走就走的AI之旅”等也在持续更新中 ...

有四个数字：1、2、3、4，能组成多少个互不相同且无重复数字的三位数？各是多少？ 可填在百位、十位、个位的数字都是1、2、3、4。组成所有的排列后再去 掉不满足条件的排列。 企业发放的奖金根据利润提成。利润(I)低于或等于10万元时，奖金可提10%；利润 ...

IT之家11 月 16 日消息，Python 软件包存储库 PyPI 现已上线数字认证（Digital Attestations）功能，这项功能允许软件包维护者在发布包时附加经过身份验证的数字签章，以便于验明正身。 长期以来，PyPI 一直受到虚假软件包困扰，大量黑客寻找已下架的合法 PyPI 包 ...

本周刊由 Python猫 出品，精心筛选国内外的 250+ 信息源，为你挑选最值得分享的文章、教程、开源项目、软件工具、播客和视频、热门话题等内容。愿景：帮助所有读者精进 Python 技术，并增长职业和副业的收入。 分享了 12 篇文章，12 个开源项目，2 则热门讨论 ...

IT之家 7 月 16 日消息，网络安全专家发现了意外泄露的 GitHub token，能以最高权限访问 Python 语言、Python 软件包索引（PyPI）和 Python 软件基金会（PSF）存储库。 网络安全公司 JFrog 表示该 GitHub 私有访问 token 托管在 Docker Hub 上的公有 Docker 容器中，IT之家附上博文 ...

近期在雾凇拼音项目的帮助下入坑了rime，现在已经是我日常必备的软件。然而rime使用过程中有一个很大的不便是词库问题，虽然已经有深蓝词库转换可以支持词库间的转换，但依然存在一些特定情况，需要特殊处理。 比如我搜索不到医学相关的专业英语词库 ...

今天，我在学习及实践使用 Python 虚拟环境时，下载相应库文件，直接使用 pip 下载，结果因下载速度过于实在太慢导致始终 ...

据Checkmarx披露，Python第三方库PyPI存在安全风险。该平台存在名为BlazeStealer的恶意木马，黑客今年1月至10月在PyPI平台上发布了8 ...

IT之家11 月 10 日消息，Python 第三方库 PyPI 中存在一些安全隐患，有不少安全公司指出该平台存在相当多恶意木马，IT之家此前报道今年 5 月该平台一度因为相关恶意内容暴增而停止注册，并要求用户强制使用双重认证登陆。 而安全公司 Checkmarx 日前公布了 PyPI 中 ...