据 TechCrunch 报道,开源项目 LiteLLM 近日被发现遭到恶意软件入侵,引发开发者与安全圈高度关注。LiteLLM 由 Y Combinator 毕业团队开发,主打让开发者更便捷地接入大量 AI 模型,并提供费用管理等功能,因而在开源社区使用广泛。报道称,此次恶意代码并非直接写入主项目,而是通过其依赖的第三方组件“夹带”进入,属于典型的供应链式投毒。研究人员 Callum McMahon 在下载后遭遇设备异常关机,随后展开排查并公开披露相关细节。恶意软件的行为以窃取登录凭据为主,并利用获取的凭据进一步渗透更多软件包与账号,形成连锁扩散风险。报道还提到,合规与安全审查公司 Delve 已对 LiteLLM 进行安全合规相关工作,以协助应对事件影响并推动后续修复与防护。
来源:TechCrunch
原始发布时间:2026-03-26T00:03:52+00:00