4月5日消息，一次针对开源软件库的供应链攻击正在引发人工智能行业的安全担忧。Meta已暂停与AI数据公司 Mercor 的合作项目，此前该公司在网络攻击中发生数据泄露，可能暴露了包括AI训练方法在内的敏感信息。 Mercor总部位于旧金山，是一家为多家AI公司提供训练数据的供应商，其客户包括 Meta、OpenAI、Anthropic和Google ...

3月24日，月均安装量达9500万次的开源AI工具LiteLLM在PyPI仓库发布的两个版本（1.82.7和1.82.8）遭供应链投毒。这两个恶意版本携带复杂的三阶段攻击负载，能窃取SSH密钥、云凭据等敏感数据，并利用.pth文件实现自动触发，隐蔽性极高。攻击由黑客组织TeamPCP发起，其通过此前入侵的Trivy工具获取了LiteLLM的发布权限。受影响用户应立即检查版本，更换所有相关密钥，并降 ...

慢雾首席信息安全官 23pds 发推表示，月下载量高达 9700 万次的 Python AI 网关库 LiteLLM 遭遇 PyPI 供应链攻击，攻击者通过 pip install litellm 指令即可在用户设备上窃取敏感信息。可窃取的敏感数据包括：SSH 密钥、云服务凭据（AWS / GCP / Azure）、Kubernetes 配置文件、Git 凭据、环境变量中的 API 密钥、Shel ...

编辑｜冷猫这是一件极其严肃的软件安全事件。今天，Karpathy 发长推文警告全部开发者注意，GitHub 超过 4 万星，月下载量达 9700 万次的 Python 库 LiteLLM 在 PyPI 上被投毒。首先提请各位开发者检查自己的 ...

如果你是一名 Python 开发者，对 pip install命令肯定很熟悉——这是最常用的套件安装指令，可用来从 PyPI 或其它来源安装、升级与管理套件。 但就在 3 月 24 ...

它支持多种编程语言，例如 Java、C#、JavaScript、Python 等。 SonarCloud 集成了流行的开发工具，例如 GitHub、GitLab、Bitbucket、Azure DevOps 等。 开发者可以使用 SonarCloud 获得代码质量的实时反馈，提升整体代码质量。