Supply chain attacks feel like they're becoming more and more common.

The TeamPCP hacking group continues its supply-chain rampage, now compromising the massively popular "LiteLLM" Python package ...

最新上传的LiteLLM Python 版本1.82.7和1.82.8，已被人为恶意植入信息窃取程序。 一旦安装，SSH密钥、AWS凭证和API密钥等数据均会立即泄漏。 目前LiteLLM的维护者Krrish Dholakia，已经公开证实此事。 在恶意版本存在三小时后，PyPI迅速发现了这一漏洞，并将软件包隔离。但LiteLLM每天下载量约为340万次，许多自动安装新版本的程序员已经遭殃。 社区 ...

但是也有人质疑卡帕西的“利用LLM提取功能”的这一措施，表示“只是把一个未经审查的代码库换成了一个LLM输出的而已”。这个就比较见仁见智了，使用LLM过滤一遍对提高代码安全性是否存在帮助依然非常依赖提示词。

Two versions of LiteLLM, an open source interface for accessing multiple large language models, have been removed from the ...

两个版本的LiteLLM因遭受供应链攻击而被从Python包索引（PyPI）中移除。LiteLLM是一个开源接口，用于访问多个大语言模型。 具体来说，LiteLLM ...

Malicious LiteLLM 1.82.7–1.82.8 via Trivy compromise deploys backdoor and steals credentials, enabling Kubernetes-wide ...

Yet another Florida man just had a Herman Melville-esque encounter with a monstrous Burmese python. In a story originally published by Outdoor Life, python hunter Carl Jackson recalled being dragged ...

尽管46分钟恶意版本就被移除， 但鉴于其单日300万+次、单月近亿次的下载量，仍对下游数千个AI项目造成极大影响 。公开报道显示，攻击者TeamPCP声称已窃取数 十万台设备 的数据。此次事件基本脉络如下（UTC时间）： ...

编辑｜冷猫这是一件极其严肃的软件安全事件。今天，Karpathy 发长推文警告全部开发者注意，GitHub 超过 4 万星，月下载量达 9700 万次的 Python 库 LiteLLM 在 PyPI 上被投毒。首先提请各位开发者检查自己的 ...

Peppermint OS moves away from restrictive Debian livebuild tools. Discover how their new custom "spin tools" provide more ...