据 TechCrunch 报道,硅谷近期两起备受关注的事件出现交集:Y Combinator 毕业团队打造的开源项目 LiteLLM 被发现混入恶意软件,而相关安全与合规问题也将另一家公司 Delve 拉入舆论焦点。LiteLLM 以便捷接入大量 AI 模型、提供用量与费用管理等能力而走红,被开发者广泛采用。安全研究人员指出,此次恶意代码并非直接出自项目主仓库,而是通过其依赖的第三方开源组件悄然渗透。研究科学家 Callum McMahon(FutureSearch)在下载使用后遭遇设备异常关机,继而追查并记录了恶意行为:该恶意软件会窃取所接触环境中的登录凭据,并利用这些凭据进一步进入更多软件包与账户,形成连锁式扩散与收割。事件凸显了开源供应链依赖带来的系统性风险,也让围绕安全审查与合规流程的讨论进一步升温。
来源:TechCrunch
原始发布时间:Thu, 26 Mar 2026 16:06:33 +0000