安全厂商快速预警后，官方紧急撤下毒包并推送修复版本。但对于已安装用户， 密钥泄露已成事实 ，必须立 刻更换所有 API Key、云凭证与登录密码，排查服务器异常访问日志。 这是典型的开源供应链投毒，再次敲响警钟： 源码安全 ≠ 安装包安全 ，生产环境切勿盲目追新，固定版本、 私有源、依赖扫描缺一不可。 （参考： LiteLLM 官方、火绒，本文经由 AI 优化） 3 月 24 日，Python 生态遭遇重磅袭击： 热门 AI 工具库 LiteLLM 在官方 PyPI 渠道被投毒 ，成为 TeamPCP 黑客组织新一轮供应链攻击的目标，波及全球海量开发者与企业服务。 LiteLLM 用于统一调度各类大模型 API，月下载量超 9500 万，是 AI 开发的基础设施。攻击者通过泄露的发布 凭证绕过代码审核，直接向 PyPI 推送恶意安装包， GitHub 源码无异常，pip 安装即中招 ，隐蔽性极强。 问题版本为 1.82.7、1.82.8 ，前者导入触发窃密，后者更狠，只要启动 Python 就自动运行恶意代码。它会收集 环境变量中的密钥、密码与服务器配置，外传到控制服务器，并尝试在云原生环境中扩散，实现持久控 ...

3. Meta作为早期合作伙伴参与联合开发，Cerebras、OpenAI、Cloudflare等50余家企业支持，年底前量产，Arm 预判智能体CPU市场TAM达千亿美元。 https://mp.weixin.qq.com/s/1mBZsk00eYgvxZJQwNYtdw 二、OpenAI宣布关停Sora视频生成平台，25个月封神到退场 1. OpenAI正式宣布关停Sora视频生成平台及相关API，将算力和团队转向生产力工具研发，为最快Q4启动的IPO聚 焦商用与代码开发方向； 生成式AI 一、Arm推出 首款自主设计的数据中心CPU： Arm AGI CPU 1. Arm发布首款自研芯片AGI CPU，采用台积电3nm工艺、136核Neoverse V3架构，主频3.7GHz，TDP 300W， 专为AI智能体基础设施打造； 2. 迪士尼随即终止与OpenAI全部合作，包括拟10亿美元入股计划及超200个IP的授权协议；Sora研发转向机器人长 期世界模拟研究； 2. 该芯片摒弃多线程设计，单机架性能达x86平台2倍以上,支持风冷8160核与液冷45000核部署，每GW算力可节省 百亿美元资本支出； 3 ...

以下文章来源于字母AI ，作者刘奕君 本文来自微信公众号： 字母AI ，作者：刘奕君 如果你最近在用OpenClaw跑Agent、装Skill，或者即便只是正常装了几个常见依赖，那你可得好好 注意了！ 今日，资深开发者Daniel Hnyk在社交平台X上紧急发文警告称：LiteLLM的PyPI官方发布版本1.82.8 已被注入恶意代码，并着重强调"DONOTUPDATE"（请勿更新）。 随后OpenAI联合创始人、前特斯拉AI主管Andrej Karpathy也亲自发帖称："软件恐怖事件：litellm PyPI供应链攻击。" 不要认为LiteLLM被投毒和OpenClaw没有任何关系。 即使你没有主动安装LiteLLM，只要你用于OpenClaw的某个Skill或组件依赖了它，它就已经在你的 项目里运行了。 这就是所谓的依赖链：你依赖一个工具，这个工具再依赖另一个库，而那个库再依赖更多东西。只要 其中一环被投毒，风险就会顺着整条链条传导下来。 字母AI . 聚焦前沿科技，抢先看到未来。 在GitHub上，该项目（BerriAI/litellm）已斩获超4万颗星，月下载量高达9700万次，是连接开发者 与上百 ...

鹭羽 发自 凹非寺 量子位 | 公众号 QbitAI Python程序员小心了！ PyPI 又双叒叕被投毒—— 最新上传的 LiteLLM Python 版本1.82.7和1.82.8，已被人为恶意植入信息窃取程序。 一旦安装，SSH密钥、AWS凭证和API密钥等数据均会立即泄漏。 目前LiteLLM的维护者Krrish Dholakia，已经公开证实此事。 值得注意的是，即使没有手动安装过 LiteLLM，但你的电脑上可能也有它。 比如 OpenClaw 就会调用该库...... 在恶意版本存在三小时后，PyPI迅速发现了这一漏洞，并将软件包隔离。但LiteLLM每天下载量约为 340万次 ，许多自动安装新版本的程序 员已经遭殃。 社区迅速引起热议， 卡帕西 也出面提醒，让程序员小心LiteLLM供应链攻击。 那么已经不慎中招的你，应该做的是—— 发生了什么？ 具体事情经过是这样的： LiteLLM是一个开源的Python库，它提供了一个统一接口，可以使用标准的OpenAI输入/输出格式调用100多个LLM （OpenAI、Anthropic、 VertexAI等） 。 每月下载量高达 9700万次 ，Gi ...

编辑｜冷猫 这是一件极其严肃的软件安全事件。 今天，Karpathy 发长推文警告全部开发者注意，GitHub 超过 4 万星，月下载量达 9700 万次的 Python 库 LiteLL M 在 PyPI 上 被投毒 。 首先提请各位开发者检查自己的 LiteLLM 版本 ，含有恶意代码的版本号为 1.82.7 和 1.82.8，如果中招请尽快重新安装。 目前，被攻破的版本已被撤回，PyPI 隔离措施已解除。包维护人员正在处理后续影响。 这一事件影响非常广泛，可以被称之为教科书级别的供应链攻击。 熟悉 Python 的朋友们一定知道 PyPI 上软件包的重要性，没有 pip install 命令我们将寸步难行。 但这次 LiteLLM 的问题正出在 PyPI 软件包上。简单的 pip install litellm 就足以窃取你的 SSH 密钥、AWS/GCP/Azure 凭证、Kubernetes 配置、git 凭证、 环境变量（包括你所有的 API 密钥）、shell 历史记录、加密货币钱包、SSL 私钥、CI/CD 机密以及数据库密码。 除去 LiteLLM 本身每月的 9700 万次下载之外，更严重 ...