PyPI遭投毒！LiteLLM用户Python启动就中招，个人凭证秒泄露

鹭羽 发自 凹非寺 量子位 | 公众号 QbitAI Python程序员小心了！ PyPI 又双叒叕被投毒—— 最新上传的 LiteLLM Python 版本1.82.7和1.82.8，已被人为恶意植入信息窃取程序。 一旦安装，SSH密钥、AWS凭证和API密钥等数据均会立即泄漏。 目前LiteLLM的维护者Krrish Dholakia，已经公开证实此事。 值得注意的是，即使没有手动安装过 LiteLLM，但你的电脑上可能也有它。 比如 OpenClaw 就会调用该库...... 在恶意版本存在三小时后，PyPI迅速发现了这一漏洞，并将软件包隔离。但LiteLLM每天下载量约为 340万次 ，许多自动安装新版本的程序 员已经遭殃。 社区迅速引起热议， 卡帕西 也出面提醒，让程序员小心LiteLLM供应链攻击。 那么已经不慎中招的你，应该做的是—— 发生了什么？ 具体事情经过是这样的： LiteLLM是一个开源的Python库，它提供了一个统一接口，可以使用标准的OpenAI输入/输出格式调用100多个LLM （OpenAI、Anthropic、 VertexAI等） 。 每月下载量高达 9700万次 ，Gi ...