litellm 遭遇 PyPI 供应链攻击，简单安装即可窃取 SSH 密钥等全部敏感凭据

By: rootdata|2026/03/25 08:44:44

0

分享

copy

ChainCatcher 消息，Andrej Karpathy 在 X 平台发文表示，litellm 遭遇 PyPI 供应链攻击，仅需执行 pip install litellm 即可窃取 SSH 密钥、AWS/GCP/Azure 凭据、Kubernetes 配置、git 凭据、环境变量、加密钱包、SSL 私钥、CI/CD 密钥及数据库密码。

litellm 每月下载量达 9700 万次，且风险会扩散至所有依赖 litellm 的项目，例如 dspy。被植入恶意代码的版本上线时间不到约 1 小时，因攻击代码存在缺陷导致 Callum McMahon 的机器内存耗尽崩溃而被发现。Andrej Karpathy 表示，供应链攻击是现代软件中最具威胁的问题，每次安装依赖项都可能在依赖树深处引入被篡改的软件包，他因此越来越倾向于减少依赖，转而使用 LLM 直接实现简单功能。

-- 价格

猜你喜欢

早报 | 景顺收购 Superstate 旗下 9 亿美元链上基金；ParaFi 已为其新基金筹集 1.25 亿美元；Solana 基金会推出开发者平台 SDP

早报 | 景顺收购 Superstate 旗下 9 亿美元链上基金；ParaFi 已为其新基金筹集 1.25 亿美元；Solana 基金会推出开发者平台 SDP

3 月 24 日市场重要事件一览

两大预测市场平台罕见联手，这支新基金是什么来头？

两大预测市场平台罕见联手，这支新基金是什么来头？

当 Klashi 的早期员工出来募资时，两位 CEO 却选择共同出现在投资方名单中。

<div class="json-object" data-json-path="data.attributes">

<div class="json-object" data-json-path="data.attributes">

SIREN，又一起杠杆骗局

代币已变得极受欢迎，而区块链却感到非常悲伤

代币已变得极受欢迎，而区块链却感到非常悲伤

当AI代币成为新的“数字石油”时，区块链只能眼睁睁看着自己曾经的梦想以一种完全陌生的方式成为现实。这种失之偏颇的普及，既是人工智能的胜利，也是区块链最深切的无力感。

Tether 大股东砸 1200 万英镑，支持加密领域的“英国版特朗普”

Tether 大股东砸 1200 万英镑，支持加密领域的“英国版特朗普”

在美国，加密行业砸钱支持特朗普、拿回监管主导权的故事已经讲完。在英国，同样的剧本正在重演。

黄仁勋最新播客：英伟达会达到10万亿美元？程序员数量不降反增？如何应对AI焦虑？

黄仁勋最新播客：英伟达会达到10万亿美元？程序员数量不降反增？如何应对AI焦虑？

算力将决定一切，人类工作只会被重构而非消失

除Resolv被黑外，这种DeFi漏洞类型已出现过四次

除Resolv被黑外，这种DeFi漏洞类型已出现过四次

17 分钟，10 万变成了 2500 万。

特朗普喊和平，15亿美元抢跑｜Rewire新闻晚报

特朗普喊和平，15亿美元抢跑｜Rewire新闻晚报

在公告前 15 分钟，15 亿美元期货交易已经到位

从 x402 到 MPP：Cloudflare 的关键一票，将投给 Coinbase 还是 Stripe？

从 x402 到 MPP：Cloudflare 的关键一票，将投给 Coinbase 还是 Stripe？

Cloudflare 既在筑墙，又在开窗。既提供屏蔽工具，也提供付费访问工具。他们决定什么被挡在门外，什么被允许进入，以及以什么条件进入。

贝莱德 CEO 发表年度公开信：代币化浪潮已来，我们将引领这一趋势

贝莱德 CEO 发表年度公开信：代币化浪潮已来，我们将引领这一趋势

重建属于每个人的资本主义。

当 Backpack 背刺社区

当 Backpack 背刺社区

一旦信任出现根本性的裂痕，Backpack 为修复它所必须付出的代价，恐怕远比此前通过手续费“收割”的那些收益昂贵得多。

当黄金不再避险，当比特币持续恐慌

当黄金不再避险，当比特币持续恐慌

全世界都在等霍尔木兹海峡重新开放，不如猜猜哪类资产能最先回到战争前？

特朗普，全球最大的石油交易员

特朗普，全球最大的石油交易员

不管结果如何，他是不会亏钱的。

如果5天后美伊没谈拢，特朗普还有什么牌？

如果5天后美伊没谈拢，特朗普还有什么牌？

100美元的布伦特，大致隐含了约 30-40% 的「达成协议」概率

Tether大股东砸1200万英镑，支持加密领域的「英国版特朗普」

Tether大股东砸1200万英镑，支持加密领域的「英国版特朗普」

在美国，加密行业砸钱支持特朗普、拿回监管主导权的故事已经讲完。在英国，同样的剧本正在重演。

以太坊基金会发文：重构L1与L2分工，共建以太坊终极生态

以太坊基金会发文：重构L1与L2分工，共建以太坊终极生态

五年沉淀，以太坊基金会更新 L1 与 L2 生态定位与顶层指引。

两大预测市场平台罕见联手，这支新基金是什么来头？

两大预测市场平台罕见联手，这支新基金是什么来头？

当 Klashi 的早期员工出来募资时，两位 CEO 却选择共同出现在投资方名单中。

WEEX P2P 现在支持约旦第纳尔（JOD）、美元（USD）和欧元（EUR）—商家招募现已开放

WEEX P2P 现在支持约旦第纳尔（JOD）、美元（USD）和欧元（EUR）—商家招募现已开放

为了使加密货币存款更方便，WEEX 已正式推出其 P2P 交易平台，并继续扩展法币支持。我们很高兴地宣布约旦第纳尔（JOD）、美元（USD）和欧元（EUR）现在在 WEEX P2P 上可用！

早报 | 景顺收购 Superstate 旗下 9 亿美元链上基金；ParaFi 已为其新基金筹集 1.25 亿美元；Solana 基金会推出开发者平台 SDP

3 月 24 日市场重要事件一览

两大预测市场平台罕见联手，这支新基金是什么来头？

当 Klashi 的早期员工出来募资时，两位 CEO 却选择共同出现在投资方名单中。

<div class="json-object" data-json-path="data.attributes">

SIREN，又一起杠杆骗局

代币已变得极受欢迎，而区块链却感到非常悲伤

当AI代币成为新的“数字石油”时，区块链只能眼睁睁看着自己曾经的梦想以一种完全陌生的方式成为现实。这种失之偏颇的普及，既是人工智能的胜利，也是区块链最深切的无力感。

Tether 大股东砸 1200 万英镑，支持加密领域的“英国版特朗普”

在美国，加密行业砸钱支持特朗普、拿回监管主导权的故事已经讲完。在英国，同样的剧本正在重演。

黄仁勋最新播客：英伟达会达到10万亿美元？程序员数量不降反增？如何应对AI焦虑？

算力将决定一切，人类工作只会被重构而非消失

热门币种

最新加密货币要闻

11:16

数据：一位巨鲸从 Kraken 提现了 33,998 个 ETH，约合 7290 万美元。

据 The Data Nerd 监测，一位新的巨鲸 0xD77 从 Kraken 提取了 33,998 ETH（约合 7290 万美元）。

10:50

慢雾：LiteLLM 漏洞攻击者窃取了大约 300GB 的数据，并破坏了大约 500,000 个凭据

Slow Fog 的首席信息安全官 23pds (Shan Ge) 在 X 平台上发帖称，有报告称 LiteLLM 漏洞攻击者窃取了大约 300GB 的数据，并泄露了大约 500,000 个凭据。他建议所有加密货币开发者立即。..

08:44

数据：BTC 当前全网 8 小时平均资金费率为 0.0025%

ChainCatcher 消息，据 Coinglass 数据显示，BTC 当前全网 8 小时平均资金费率为 0.0025%。当前主流交易所中，Binance 费率为 0.0023%，OKX 费率为 0.0018%，Bybit 费率为 0.0056%，Gate 费率为 0.0038%。

08:44

OpenAI 透露额外筹集 100 亿美元资金，IPO 前融资总额超 1200 亿美元

ChainCatcher 消息，据市场消息，OpenAI 首席财务官 Sarah Friar 在一次采访中透露，作为其历史性融资轮的一部分，OpenAI 正在从投资者那里筹集额外的 100 亿美元资金。 Friar 表示，这笔新资金使 OpenAI 的这轮融资总额达到“超过 1200 亿美元”，远远超过上月宣布的 1100 亿美元。OpenAI 于 2 月底宣布了首轮融资，这笔融资被视为其在进行可能进行的首次公开募股（IPO）之前的最后一轮私募融资据 Friar 透露，Andreessen Horowitz、D.E. Shaw Ventures、MGX、TPG 和 T. Rowe Pri...

08:44

贝莱德：机构聚焦比特币与以太坊，AI 被视为加密市场关键驱动因素

ChainCatcher 消息，贝莱德数字资产负责人 Robbie Mitchnick 表示，机构投资者正将加密资产配置集中于比特币与以太坊，对大多数其他代币兴趣有限，认为其缺乏长期价值，同时，其指出人工智能将成为比加密资产更重要的长期驱动因素，并强调加密货币作为 “计算机原生货币”，与 AI 的 “计算机原生数据与智能” 具有天然协同关系。