这是一件极其严肃的软件安全事件。 今天，Karpathy 发长推文警告全部开发者注意，GitHub 超过 4 万星，月下载量达 9700 万次的 Python 库 LiteLLM 在 PyPI 上被投毒。 首先提请各位开发者检查自己的 LiteLLM 版本 ，含有恶意代码的版本号为 1.82.7 和 1.82.8，如果中招请尽快 ...

02 LiteLLM恶意包细节 此次LiteLLM包投毒事件的具体细节如下： ·恶意包1.82.7版本，payload藏在了proxy_server.py中，只要import就执行； ·恶意包1.82.8版本，黑客在其中植入了litellm_init.pth文件。 Python site 模块会在每次解释器启动时自动执行，无需任何 import 触发； ...

最新上传的LiteLLM Python 版本1.82.7和1.82.8，已被人为恶意植入信息窃取程序。 一旦安装，SSH密钥、AWS凭证和API密钥等数据均会立即泄漏。 目前LiteLLM的维护者Krrish Dholakia，已经公开证实此事。 在恶意版本存在三小时后，PyPI迅速发现了这一漏洞，并将软件包隔离。

The TeamPCP hacking group continues its supply-chain rampage, now compromising the massively popular "LiteLLM" Python package on PyPI and claiming to have stolen data from hundreds of thousands of ...

An attack on the open-source library for connecting to LLMs has apparently occurred, allowing two compromised packages to steal credentials. The LiteLLM development team has announced a security ...

LiteLLM allows developers to integrate a diverse range of LLM models as if they were calling OpenAI’s API, with support for fallbacks, budgets, rate limits, and real-time monitoring of API calls. The ...

近日，开源AI API网关LiteLLM遭遇供应链投毒事件，引发全球开发者社区高度关注。作为支撑数千家企业AI架构的核心工具，该平台每月安装量高达9500万次，支持通过统一接口调用OpenAI、Anthropic等100余家服务商的API服务。此次攻击导致两个恶意版本（1.82.7和1.82.8）在 ...