Heim
KI-Community alarmiert: Litellm-Bibliothek von Angriff auf die Software-Lieferkette betroffen
Die KI-Entwickler-Community wurde durch eine aktuelle Warnung des renommierten KI-Wissenschaftlers Andrej Karpathy erschüttert, der einen gezielten Poisoning-Angriff auf die Lieferkette von KI-Software aufgedeckt hat. Das Ziel ist die beliebte Python-Bibliothek litellm, die über 40.000 GitHub-Sterne und fast 100 Millionen Downloads pro Monat vorweisen kann. Als universeller Adapter für den Aufruf der APIs wichtiger KI-Modelle hat die Kompromittierung der Bibliothek einen Dominoeffekt ausgelöst, der potenziell Auswirkungen auf die gesamte Toolchain der KI-Entwicklung haben könnte.
Infektion bei der Installation: Die „unsichtbare“ Funktionsweise des Schadcodes
Die Tarnung des Angriffs beruht auf seinem cleveren Auslöser. Böswillige Akteure fügten eine schädliche .pth Datei in zwei bestimmte PyPI-Versionen von litellm (Versionen 1.82.7 und 1.82.8) eingefügt.
Automatische Ausführung: Allein durch die Installation einer dieser kompromittierten Versionen pip install führt dazu, dass der Schadcode bei jedem Start eines Python-Prozesses automatisch ausgeführt wird. Es ist kein manueller Import oder Funktionsaufruf erforderlich – Ihr System ist ab dem Zeitpunkt der Installation gefährdet.
Umfassende Datenexfiltration: Sobald der Code aktiv ist, sammelt er aggressiv eine Vielzahl sensibler Host-Daten. Dazu gehören SSH-Schlüssel, Cloud-Anmeldedaten (AWS/GCP), Kubernetes-Schlüssel, Kryptowährungs-Wallets und alle Umgebungsvariablen – die oft wertvolle API-Schlüssel für große Modelle enthalten. Die gestohlenen Informationen werden verschlüsselt und an den Remote-Server des Angreifers übertragen.
Eine unerwartete Wendung: Der Angreifer wurde durch einen „Bug“ entlarvt
Dieses potenziell lange unentdeckte Verbrechen wurde durch einen Fehler des Hackers selbst vereitelt. Ein Entwickler bemerkte, dass die Speicherauslastung seines Rechners plötzlich in die Höhe schoss, während er eine Erweiterung im Cursor-Editor verwendete.
Die Untersuchung ergab, dass der Schadcode eine Prozess-Fork-Bombe auslöste – eine exponentielle Vermehrung, die das System schnell zum Absturz brachte. Diese Instabilität wurde zum entscheidenden Hinweis, der es Sicherheitsforschern ermöglichte, das Problem auf das manipulierte Paket zurückzuführen. Karpathy merkte an, dass dieser groß angelegte Diebstahl möglicherweise noch andauern würde, wäre der Code des Angreifers kompetenter geschrieben worden.
Kettenreaktion: Wie Sicherheitstools zum „Mittel zum Zweck“ wurden
Der Vorfall verdeutlicht eine Kaskade von Versagen in der Lieferkette. Die Angreifergruppe TeamPCP kompromittierte zunächst das Sicherheits-Scanning-Tool Trivy. Mithilfe gestohlener Anmeldedaten erlangten sie litellms Release-Token, umgingen die Code-Prüfung und luden das schädliche Paket direkt auf PyPI hoch.
Die Folgen sind weitreichend. Über 2.000 weit verbreitete KI-Tools, darunter DSPy, MLflow und Open Interpreter, sind indirekt auf diese Bibliothek angewiesen. Sicherheitsexperten raten Entwicklern dringend, ihre Installationen zu überprüfen, indem sie pip show litellm. Wenn die Version 1.82.7 oder höher ist, muss von einem vollständigen Verlust der Anmeldedaten ausgegangen werden, und alle sensiblen Schlüssel und Tokens sollten sofort ausgetauscht werden.
Verwandter Artikel
Wie kann man Vermögenswerte, Gebäude und die eigene Gesundheit schützen?
In einer unvorhersehbaren Welt ist Schutz zu einer strategischen Notwendigkeit geworden – und nicht mehr nur eine Option. Ob es um die Absicherung der Finanzen, die Stärkung von Gebäuden oder die Pfle
Der KI-Browser Comet startet mit vollständiger Multitasking-Unterstützung auf dem iPad
Der KI-Browser „Comet“ von Perplexity hat offiziell seine iPad-Version veröffentlicht, die nun vollständig mit iPadOS kompatibel ist. Das Update bietet nun das Surfen in mehreren Fenstern, Multitaskin
Trace sammelt 3 Millionen Dollar, um die Hürden bei der Einführung von künstlichen Intelligenz-Agenten in Unternehmen zu überwinden.
Trotz ihres Potenzials haben künstliche Intelligenz-Agenten Schwierigkeiten, in Unternehmen Fuß zu fassen. Ein aufstrebendes Start-up ist der Ansicht, dass das Kernproblem ein Mangel an Kontext ist.Trace, ein als Teil der Sommerausbildung von Y Comb
Empfehlungen zu verwandten Spezialthemen
Geschäft
Die beste Software zur Preisoptimierung mittels KI: Beobachten Sie die Konkurrenz und passen Sie Ihre Shop-Preise automatisch an
Entdecken Sie auf XIX.AI die beste Software zur Preisoptimierung mittels KI für 2026. Unsere sorgfältig zusammengestellte Liste enthält erstklassige, bahnbrechende Tools, die Ihre Mitbewerber beobachten und Ihre Shop-Preise automatisch anpassen, um den maximalen Gewinn zu erzielen. Vergleichen Sie kostenlose und kostenpflichtige Optionen anhand von Praxistests. Sichern Sie sich jetzt Ihren Preisvorteil.
10 Tools
xix.ai
Code
Die besten KI-Code-Prüfer: Automatisierung der Einhaltung von Clean-Code-Standards und Refactoring von Dateien in älteren Repositorys
Entdecken Sie die besten KI-Code-Reviewer des Jahres 2026 auf XIX.AI. Unsere sorgfältig zusammengestellte Liste enthält erstklassige, bahnbrechende Tools zur Automatisierung der Einhaltung von Clean-Code-Standards und zur Refaktorisierung von Dateien in älteren Repositorys. Vergleichen Sie kostenlose und kostenpflichtige Optionen anhand von Praxistests und wöchentlich aktualisierten Rankings. Sichern Sie sich noch heute Ihren KI-Vorsprung.
10 Tools
xix.ai
Text-zu-Sprache
Die besten KI-Sprachausgabe-Apps für Legasthenie: Unterstützung für das Lernen und effizienteres Lesen bei Schülern
Entdecken Sie die besten KI-TTS-Apps des Jahres 2026, die speziell zur Unterstützung bei Legasthenie ausgewählt wurden. In unseren Experten-Rankings vergleichen wir kostenlose und kostenpflichtige Tools und stellen leistungsstarke Funktionen für mehr Leseeffizienz und besseren Lernerfolg vor. Entdecken Sie bahnbrechende Lösungen, die Sie unbedingt ausprobieren sollten, um das Potenzial Ihrer Schüler voll auszuschöpfen. Beginnen Sie Ihre Reise bei XIX.AI.
10 Tools
xix.ai
Comic-Erstellung
Die besten KI-Generatoren für Shonen-Manga: Erstelle actiongeladene Sequenzen und dynamische Effekte
Entdecken Sie bei XIX.AI die besten KI-Generatoren für Shonen-Manga des Jahres 2026. Unsere sorgfältig zusammengestellte Liste der Top-Anbieter umfasst leistungsstarke Tools zur Erstellung actiongeladener Sequenzen und dynamischer Energieeffekte. Vergleichen Sie kostenlose und kostenpflichtige Optionen anhand von Praxistests. Entfalten Sie Ihr kreatives Potenzial und beginnen Sie noch heute mit der Gestaltung epischer Manga!
15 Tools
xix.ai
Geschäft
Die besten KI-basierten Spesenabrechnungsprogramme: Quittungen scannen und Geschäftsausgaben automatisch kategorisieren
Die besten KI-basierten Spesenmanager 2026: Erstklassige Tools zum Scannen von Belegen und zur automatischen Kategorisierung von Unternehmensausgaben. Entdecken Sie leistungsstarke, bahnbrechende Lösungen für müheloses Spesenmanagement, präzise Finanzüberwachung und optimierte Compliance. Unser sorgfältig zusammengestellter, wöchentlich aktualisierter Vergleich zwischen kostenlosen und kostenpflichtigen Optionen hilft Ihnen dabei, die perfekte Lösung zu finden. Nutzen Sie Ihren KI-Vorteil mit den Expertenempfehlungen von XIX.AI.
10 Tools
xix.ai
Geschäft
Die besten KI-Tools für die Personalbeschaffung: Lebensläufe prüfen und die Terminplanung für Vorstellungsgespräche automatisieren
Entdecken Sie auf XIX.AI die besten KI-Tools für die Personalbeschaffung des Jahres 2026. Unsere sorgfältig zusammengestellte Liste umfasst leistungsstarke, bahnbrechende Lösungen für die Sichtung von Lebensläufen und die automatisierte Terminplanung für Vorstellungsgespräche. Vergleichen Sie kostenlose und kostenpflichtige Optionen anhand von Praxistests und wöchentlich aktualisierten Rankings. Finden Sie Ihren perfekten Assistenten für die Personalbeschaffung und optimieren Sie noch heute Ihren Rekrutierungsprozess!
10 Tools
xix.ai
Kommentare (0)
Die KI-Entwickler-Community wurde durch eine aktuelle Warnung des renommierten KI-Wissenschaftlers Andrej Karpathy erschüttert, der einen gezielten Poisoning-Angriff auf die Lieferkette von KI-Software aufgedeckt hat. Das Ziel ist die beliebte Python-Bibliothek litellm, die über 40.000 GitHub-Sterne und fast 100 Millionen Downloads pro Monat vorweisen kann. Als universeller Adapter für den Aufruf der APIs wichtiger KI-Modelle hat die Kompromittierung der Bibliothek einen Dominoeffekt ausgelöst, der potenziell Auswirkungen auf die gesamte Toolchain der KI-Entwicklung haben könnte.
Infektion bei der Installation: Die „unsichtbare“ Funktionsweise des Schadcodes
Die Tarnung des Angriffs beruht auf seinem cleveren Auslöser. Böswillige Akteure fügten eine schädliche .pth Datei in zwei bestimmte PyPI-Versionen von
Automatische Ausführung: Allein durch die Installation einer dieser kompromittierten Versionen pip install führt dazu, dass der Schadcode bei jedem Start eines Python-Prozesses automatisch ausgeführt wird. Es ist kein manueller Import oder Funktionsaufruf erforderlich – Ihr System ist ab dem Zeitpunkt der Installation gefährdet.
Umfassende Datenexfiltration: Sobald der Code aktiv ist, sammelt er aggressiv eine Vielzahl sensibler Host-Daten. Dazu gehören SSH-Schlüssel, Cloud-Anmeldedaten (AWS/GCP), Kubernetes-Schlüssel, Kryptowährungs-Wallets und alle Umgebungsvariablen – die oft wertvolle API-Schlüssel für große Modelle enthalten. Die gestohlenen Informationen werden verschlüsselt und an den Remote-Server des Angreifers übertragen.
Eine unerwartete Wendung: Der Angreifer wurde durch einen „Bug“ entlarvt
Dieses potenziell lange unentdeckte Verbrechen wurde durch einen Fehler des Hackers selbst vereitelt. Ein Entwickler bemerkte, dass die Speicherauslastung seines Rechners plötzlich in die Höhe schoss, während er eine Erweiterung im Cursor-Editor verwendete.
Die Untersuchung ergab, dass der Schadcode eine Prozess-Fork-Bombe auslöste – eine exponentielle Vermehrung, die das System schnell zum Absturz brachte. Diese Instabilität wurde zum entscheidenden Hinweis, der es Sicherheitsforschern ermöglichte, das Problem auf das manipulierte Paket zurückzuführen. Karpathy merkte an, dass dieser groß angelegte Diebstahl möglicherweise noch andauern würde, wäre der Code des Angreifers kompetenter geschrieben worden.
Kettenreaktion: Wie Sicherheitstools zum „Mittel zum Zweck“ wurden
Der Vorfall verdeutlicht eine Kaskade von Versagen in der Lieferkette. Die Angreifergruppe TeamPCP kompromittierte zunächst das Sicherheits-Scanning-Tool Trivy. Mithilfe gestohlener Anmeldedaten erlangten sie
Die Folgen sind weitreichend. Über 2.000 weit verbreitete KI-Tools, darunter DSPy, MLflow und Open Interpreter, sind indirekt auf diese Bibliothek angewiesen. Sicherheitsexperten raten Entwicklern dringend, ihre Installationen zu überprüfen, indem sie pip show litellm. Wenn die Version 1.82.7 oder höher ist, muss von einem vollständigen Verlust der Anmeldedaten ausgegangen werden, und alle sensiblen Schlüssel und Tokens sollten sofort ausgetauscht werden.
Wie kann man Vermögenswerte, Gebäude und die eigene Gesundheit schützen?
In einer unvorhersehbaren Welt ist Schutz zu einer strategischen Notwendigkeit geworden – und nicht mehr nur eine Option. Ob es um die Absicherung der Finanzen, die Stärkung von Gebäuden oder die Pfle
Der KI-Browser Comet startet mit vollständiger Multitasking-Unterstützung auf dem iPad
Der KI-Browser „Comet“ von Perplexity hat offiziell seine iPad-Version veröffentlicht, die nun vollständig mit iPadOS kompatibel ist. Das Update bietet nun das Surfen in mehreren Fenstern, Multitaskin
Trace sammelt 3 Millionen Dollar, um die Hürden bei der Einführung von künstlichen Intelligenz-Agenten in Unternehmen zu überwinden.
Trotz ihres Potenzials haben künstliche Intelligenz-Agenten Schwierigkeiten, in Unternehmen Fuß zu fassen. Ein aufstrebendes Start-up ist der Ansicht, dass das Kernproblem ein Mangel an Kontext ist.Trace, ein als Teil der Sommerausbildung von Y Comb
Entdecken Sie auf XIX.AI die beste Software zur Preisoptimierung mittels KI für 2026. Unsere sorgfältig zusammengestellte Liste enthält erstklassige, bahnbrechende Tools, die Ihre Mitbewerber beobachten und Ihre Shop-Preise automatisch anpassen, um den maximalen Gewinn zu erzielen. Vergleichen Sie kostenlose und kostenpflichtige Optionen anhand von Praxistests. Sichern Sie sich jetzt Ihren Preisvorteil.
10 Tools
xix.ai
Entdecken Sie die besten KI-Code-Reviewer des Jahres 2026 auf XIX.AI. Unsere sorgfältig zusammengestellte Liste enthält erstklassige, bahnbrechende Tools zur Automatisierung der Einhaltung von Clean-Code-Standards und zur Refaktorisierung von Dateien in älteren Repositorys. Vergleichen Sie kostenlose und kostenpflichtige Optionen anhand von Praxistests und wöchentlich aktualisierten Rankings. Sichern Sie sich noch heute Ihren KI-Vorsprung.
10 Tools
xix.ai
Entdecken Sie die besten KI-TTS-Apps des Jahres 2026, die speziell zur Unterstützung bei Legasthenie ausgewählt wurden. In unseren Experten-Rankings vergleichen wir kostenlose und kostenpflichtige Tools und stellen leistungsstarke Funktionen für mehr Leseeffizienz und besseren Lernerfolg vor. Entdecken Sie bahnbrechende Lösungen, die Sie unbedingt ausprobieren sollten, um das Potenzial Ihrer Schüler voll auszuschöpfen. Beginnen Sie Ihre Reise bei XIX.AI.
10 Tools
xix.ai
Entdecken Sie bei XIX.AI die besten KI-Generatoren für Shonen-Manga des Jahres 2026. Unsere sorgfältig zusammengestellte Liste der Top-Anbieter umfasst leistungsstarke Tools zur Erstellung actiongeladener Sequenzen und dynamischer Energieeffekte. Vergleichen Sie kostenlose und kostenpflichtige Optionen anhand von Praxistests. Entfalten Sie Ihr kreatives Potenzial und beginnen Sie noch heute mit der Gestaltung epischer Manga!
15 Tools
xix.ai
Die besten KI-basierten Spesenmanager 2026: Erstklassige Tools zum Scannen von Belegen und zur automatischen Kategorisierung von Unternehmensausgaben. Entdecken Sie leistungsstarke, bahnbrechende Lösungen für müheloses Spesenmanagement, präzise Finanzüberwachung und optimierte Compliance. Unser sorgfältig zusammengestellter, wöchentlich aktualisierter Vergleich zwischen kostenlosen und kostenpflichtigen Optionen hilft Ihnen dabei, die perfekte Lösung zu finden. Nutzen Sie Ihren KI-Vorteil mit den Expertenempfehlungen von XIX.AI.
10 Tools
xix.ai
Entdecken Sie auf XIX.AI die besten KI-Tools für die Personalbeschaffung des Jahres 2026. Unsere sorgfältig zusammengestellte Liste umfasst leistungsstarke, bahnbrechende Lösungen für die Sichtung von Lebensläufen und die automatisierte Terminplanung für Vorstellungsgespräche. Vergleichen Sie kostenlose und kostenpflichtige Optionen anhand von Praxistests und wöchentlich aktualisierten Rankings. Finden Sie Ihren perfekten Assistenten für die Personalbeschaffung und optimieren Sie noch heute Ihren Rekrutierungsprozess!
10 Tools
xix.ai
