# LiteLLM
开源Python库LiteLLM被黑客组织TeamPCP篡改,恶意版本1.82.7和1.82.8在PyPI平台发布,用于窃取用户敏感数据。该库日下载量超340万次,本月累计下载量达9500万次,广泛用于连接多个大语言模型服务。安全机构Endor Labs发现,恶意版本部署了信息窃取程序,可收集凭证、授权令牌等。目前恶意版本已被移除,官方推荐1.82.6为安全版本。受影响用户被建议立即轮换所有密钥和凭证,并检查系统中的持久化文件及网络流量。
美国开源AI工具LiteLLM遭遇恶意软件攻击,该软件日下载量高达340万次,拥有4万GitHub星标。恶意代码通过依赖项植入,窃取登录凭证并横向扩散。安全研究员Callum McMahon在下载后因系统崩溃发现漏洞,认为其为粗制滥造的“vibe coding”产物。LiteLLM团队正与Mandiant合作调查。同时,LiteLLM官网宣称通过SOC2和ISO 27001认证,但认证服务由初创公司Delve提供,后者正面临伪造数据、雇佣“橡皮图章”审计机构的指控。LiteLLM CEO未回应Delve相关质疑,称当前重点为事件调查与技术复盘。
开源AI项目LiteLLM近日被发现遭恶意软件入侵,该软件通过依赖项传播,窃取登录凭证并横向扩散。事件由FutureSearch研究人员Callum McMahon发现,其设备在下载后因恶意代码崩溃。LiteLLM日下载量高达340万次,GitHub获4万星。尽管项目官网标称已通过SOC2和ISO 27001安全认证,但认证由初创公司Delve提供,后者被指存在伪造数据、使用“橡皮图章”审计等问题。LiteLLM CEO Krrish Dholakia表示正与Mandiant合作调查,暂无评论Delve认证事宜。事件引发对开源安全及第三方认证可信度的广泛讨论。