Hogar
La comunidad de IA, alarmada tras el ataque a la biblioteca litellm en la cadena de suministro de software
La comunidad de desarrolladores de IA se ha visto sacudida por una reciente alerta del reconocido científico en IA Andrej Karpathy, en la que se revela un ataque de envenenamiento dirigido contra la cadena de suministro de software de IA. El objetivo es la popular biblioteca de Python litellm, que cuenta con más de 40 000 estrellas en GitHub y cerca de 100 millones de descargas mensuales. Al tratarse de un adaptador universal para llamar a las principales API de modelos de IA, la vulnerabilidad de la biblioteca ha desencadenado un efecto dominó que podría afectar a toda la cadena de herramientas de desarrollo de IA.
Infectada al instalarse: el funcionamiento «invisible» del código malicioso
El sigilo del ataque se debe a su ingenioso mecanismo de activación. Los actores maliciosos insertaron un .pth en dos versiones específicas de litellm en PyPI (versiones 1.82.7 y 1.82.8).
Ejecución automática: el simple hecho de instalar cualquiera de estas versiones comprometidas a través de pip install provoca que el código malicioso se ejecute automáticamente con cada inicio de un proceso de Python. No se necesita ninguna importación manual ni llamada a funciones: su sistema queda expuesto en el momento en que se completa la instalación.
Exfiltración exhaustiva de datos: una vez activo, el código recopila de forma agresiva una amplia gama de datos confidenciales del host. Esto incluye claves SSH, credenciales de nube (AWS/GCP), claves de Kubernetes, carteras de criptomonedas y todas las variables de entorno, que a menudo contienen valiosas claves API de modelos de gran tamaño. La información robada se cifra y se transmite al servidor remoto del atacante.
Un giro inesperado: el atacante quedó al descubierto por un «error»
Este delito, que podría haber pasado desapercibido durante mucho tiempo, fue frustrado por un error del propio hacker. Un desarrollador notó que el uso de memoria de su máquina se disparaba de repente mientras utilizaba una extensión en el editor Cursor.
La investigación reveló que el código malicioso desencadenó una «bomba de bifurcación» de procesos, una replicación exponencial que colapsó rápidamente el sistema. Esta inestabilidad se convirtió en la pista clave que permitió a los investigadores de seguridad rastrear el problema hasta el paquete infectado. Karpathy señaló que, si el código del atacante se hubiera escrito con mayor competencia, este robo a gran escala podría seguir en marcha.
Reacción en cadena: cómo las herramientas de seguridad se convirtieron en el «portador del cuchillo»
El incidente pone de relieve una cascada de fallos en la cadena de suministro. El grupo de atacantes, TeamPCP, comprometió primero la herramienta de análisis de seguridad Trivy. Utilizando credenciales robadas, obtuvieron el token de lanzamiento de litellm , eludieron la revisión de código y subieron el paquete malicioso directamente a PyPI.
Las consecuencias son enormes. Más de 2000 herramientas de IA de uso generalizado, entre ellas DSPy, MLflow y Open Interpreter, dependen indirectamente de esta biblioteca. Los expertos en seguridad aconsejan urgentemente a los desarrolladores que comprueben sus instalaciones ejecutando pip show litellm. Si la versión es 1.82.7 o superior, se debe asumir una fuga total de credenciales y rotar inmediatamente todas las claves y tokens confidenciales.
Artículo relacionado
DeepL, conocida por la traducción de textos, se centra ahora en la traducción de voz
DeepL, una empresa de traducción conocida principalmente por sus herramientas de texto, ha lanzado hoy un paquete de traducción de voz a voz diseñado para situaciones como reuniones, conversaciones po
Las notas de las reuniones de Talat generadas por IA se guardan en tu dispositivo, no en la nube
Granola, la aplicación para tomar notas basada en IA valorada en 250 millones de dólares, ha ganado popularidad entre los fundadores de empresas tecnológicas y los inversores de capital riesgo. Sin em
El nuevo Roewe i6 sale al mercado por 659 000 yuanes, equipado con un procesador Snapdragon 8155 y el modelo de gran capacidad de Doubao
SAIC Roewe ha presentado hoy el nuevo Roewe i6, un sedán compacto que adopta plenamente el lenguaje visual del Roewe D7. Su característica parrilla grande y vertical y la barra luminosa horizontal se
Recomendaciones de temas especiales relacionados
escribiendo
Los mejores creadores de perfiles de ficción con IA: cómo generar motivaciones y defectos fatales coherentes para los personajes
Descubre los mejores creadores de perfiles de ficción con IA de 2026 para dar vida a personajes profundos. La selección de XIX.AI incluye herramientas de primera categoría y revolucionarias que generan motivaciones coherentes y defectos fatales. Compara las opciones gratuitas con las de pago mediante pruebas en el mundo real. Libera ahora tu potencial narrativo.
10 herramientas
xix.ai
Negocio
El mejor software de optimización de precios con IA: realiza un seguimiento de la competencia y ajusta automáticamente los precios de la tienda
Descubre el mejor software de optimización de precios con IA de 2026 en XIX.AI. Nuestra selección incluye herramientas de primera categoría y revolucionarias que analizan a la competencia y ajustan automáticamente los precios de tu tienda para maximizar los beneficios. Compara las opciones gratuitas con las de pago mediante pruebas reales. Aprovecha ahora tu ventaja competitiva en materia de precios.
10 herramientas
xix.ai
código
Los mejores revisores de código basados en IA: automatiza el cumplimiento de las normas de código limpio y refactoriza los archivos de repositorios heredados
Descubre los mejores revisores de código con IA de 2026 en XIX.AI. Nuestra lista seleccionada incluye herramientas de primera categoría y revolucionarias para automatizar el cumplimiento de las normas de código limpio y refactorizar archivos de repositorios heredados. Compara las opciones gratuitas con las de pago mediante pruebas reales y clasificaciones que se actualizan semanalmente. Aprovecha hoy mismo tu ventaja con la IA.
10 herramientas
xix.ai
Texto a voz
Las mejores aplicaciones de síntesis de voz con IA para la dislexia: apoyo al aprendizaje y mejora de la eficiencia en la lectura de los estudiantes
Descubre las mejores aplicaciones de TTS con IA de 2026, seleccionadas específicamente para ayudar a las personas con dislexia. Nuestra clasificación, elaborada por expertos, compara herramientas gratuitas y de pago, y destaca sus potentes funciones para mejorar la eficiencia en la lectura y el aprendizaje. Explora soluciones innovadoras e imprescindibles para liberar el potencial de los estudiantes. Empieza tu viaje en XIX.AI.
10 herramientas
xix.ai
Creación de cómics
Los mejores generadores de IA para manga shonen: crea secuencias de acción trepidantes y efectos de energía
Descubre los mejores generadores de IA para manga shonen de 2026 en XIX.AI. Nuestra lista, cuidadosamente seleccionada y con las mejores valoraciones, incluye potentes herramientas para crear secuencias de acción trepidantes y efectos energéticos dinámicos. Compara las opciones gratuitas con las de pago mediante pruebas reales. ¡Libera tu potencial creativo y empieza a crear manga épico hoy mismo!
15 herramientas
xix.ai
Negocio
Los mejores gestores de gastos con IA: escanea recibos y clasifica automáticamente los gastos de la empresa
Los mejores gestores de gastos con IA de 2026: las herramientas mejor valoradas para escanear recibos y clasificar automáticamente los gastos de la empresa. Descubre soluciones potentes y revolucionarias para una gestión de gastos sin esfuerzo, un seguimiento financiero preciso y un cumplimiento normativo optimizado. Nuestra comparativa, seleccionada y actualizada semanalmente, entre opciones gratuitas y de pago te ayuda a encontrar la que mejor se adapta a tus necesidades. Aprovecha al máximo las ventajas de la IA con las recomendaciones de los expertos de XIX.AI.
10 herramientas
xix.ai
comentario (0)
0/500
La comunidad de desarrolladores de IA se ha visto sacudida por una reciente alerta del reconocido científico en IA Andrej Karpathy, en la que se revela un ataque de envenenamiento dirigido contra la cadena de suministro de software de IA. El objetivo es la popular biblioteca de Python litellm, que cuenta con más de 40 000 estrellas en GitHub y cerca de 100 millones de descargas mensuales. Al tratarse de un adaptador universal para llamar a las principales API de modelos de IA, la vulnerabilidad de la biblioteca ha desencadenado un efecto dominó que podría afectar a toda la cadena de herramientas de desarrollo de IA.
Infectada al instalarse: el funcionamiento «invisible» del código malicioso
El sigilo del ataque se debe a su ingenioso mecanismo de activación. Los actores maliciosos insertaron un .pth en dos versiones específicas de
Ejecución automática: el simple hecho de instalar cualquiera de estas versiones comprometidas a través de pip install provoca que el código malicioso se ejecute automáticamente con cada inicio de un proceso de Python. No se necesita ninguna importación manual ni llamada a funciones: su sistema queda expuesto en el momento en que se completa la instalación.
Exfiltración exhaustiva de datos: una vez activo, el código recopila de forma agresiva una amplia gama de datos confidenciales del host. Esto incluye claves SSH, credenciales de nube (AWS/GCP), claves de Kubernetes, carteras de criptomonedas y todas las variables de entorno, que a menudo contienen valiosas claves API de modelos de gran tamaño. La información robada se cifra y se transmite al servidor remoto del atacante.
Un giro inesperado: el atacante quedó al descubierto por un «error»
Este delito, que podría haber pasado desapercibido durante mucho tiempo, fue frustrado por un error del propio hacker. Un desarrollador notó que el uso de memoria de su máquina se disparaba de repente mientras utilizaba una extensión en el editor Cursor.
La investigación reveló que el código malicioso desencadenó una «bomba de bifurcación» de procesos, una replicación exponencial que colapsó rápidamente el sistema. Esta inestabilidad se convirtió en la pista clave que permitió a los investigadores de seguridad rastrear el problema hasta el paquete infectado. Karpathy señaló que, si el código del atacante se hubiera escrito con mayor competencia, este robo a gran escala podría seguir en marcha.
Reacción en cadena: cómo las herramientas de seguridad se convirtieron en el «portador del cuchillo»
El incidente pone de relieve una cascada de fallos en la cadena de suministro. El grupo de atacantes, TeamPCP, comprometió primero la herramienta de análisis de seguridad Trivy. Utilizando credenciales robadas, obtuvieron el token de lanzamiento de
Las consecuencias son enormes. Más de 2000 herramientas de IA de uso generalizado, entre ellas DSPy, MLflow y Open Interpreter, dependen indirectamente de esta biblioteca. Los expertos en seguridad aconsejan urgentemente a los desarrolladores que comprueben sus instalaciones ejecutando pip show litellm. Si la versión es 1.82.7 o superior, se debe asumir una fuga total de credenciales y rotar inmediatamente todas las claves y tokens confidenciales.
DeepL, conocida por la traducción de textos, se centra ahora en la traducción de voz
DeepL, una empresa de traducción conocida principalmente por sus herramientas de texto, ha lanzado hoy un paquete de traducción de voz a voz diseñado para situaciones como reuniones, conversaciones po
Las notas de las reuniones de Talat generadas por IA se guardan en tu dispositivo, no en la nube
Granola, la aplicación para tomar notas basada en IA valorada en 250 millones de dólares, ha ganado popularidad entre los fundadores de empresas tecnológicas y los inversores de capital riesgo. Sin em
El nuevo Roewe i6 sale al mercado por 659 000 yuanes, equipado con un procesador Snapdragon 8155 y el modelo de gran capacidad de Doubao
SAIC Roewe ha presentado hoy el nuevo Roewe i6, un sedán compacto que adopta plenamente el lenguaje visual del Roewe D7. Su característica parrilla grande y vertical y la barra luminosa horizontal se
Descubre los mejores creadores de perfiles de ficción con IA de 2026 para dar vida a personajes profundos. La selección de XIX.AI incluye herramientas de primera categoría y revolucionarias que generan motivaciones coherentes y defectos fatales. Compara las opciones gratuitas con las de pago mediante pruebas en el mundo real. Libera ahora tu potencial narrativo.
10 herramientas
xix.ai
Descubre el mejor software de optimización de precios con IA de 2026 en XIX.AI. Nuestra selección incluye herramientas de primera categoría y revolucionarias que analizan a la competencia y ajustan automáticamente los precios de tu tienda para maximizar los beneficios. Compara las opciones gratuitas con las de pago mediante pruebas reales. Aprovecha ahora tu ventaja competitiva en materia de precios.
10 herramientas
xix.ai
Descubre los mejores revisores de código con IA de 2026 en XIX.AI. Nuestra lista seleccionada incluye herramientas de primera categoría y revolucionarias para automatizar el cumplimiento de las normas de código limpio y refactorizar archivos de repositorios heredados. Compara las opciones gratuitas con las de pago mediante pruebas reales y clasificaciones que se actualizan semanalmente. Aprovecha hoy mismo tu ventaja con la IA.
10 herramientas
xix.ai
Descubre las mejores aplicaciones de TTS con IA de 2026, seleccionadas específicamente para ayudar a las personas con dislexia. Nuestra clasificación, elaborada por expertos, compara herramientas gratuitas y de pago, y destaca sus potentes funciones para mejorar la eficiencia en la lectura y el aprendizaje. Explora soluciones innovadoras e imprescindibles para liberar el potencial de los estudiantes. Empieza tu viaje en XIX.AI.
10 herramientas
xix.ai
Descubre los mejores generadores de IA para manga shonen de 2026 en XIX.AI. Nuestra lista, cuidadosamente seleccionada y con las mejores valoraciones, incluye potentes herramientas para crear secuencias de acción trepidantes y efectos energéticos dinámicos. Compara las opciones gratuitas con las de pago mediante pruebas reales. ¡Libera tu potencial creativo y empieza a crear manga épico hoy mismo!
15 herramientas
xix.ai
Los mejores gestores de gastos con IA de 2026: las herramientas mejor valoradas para escanear recibos y clasificar automáticamente los gastos de la empresa. Descubre soluciones potentes y revolucionarias para una gestión de gastos sin esfuerzo, un seguimiento financiero preciso y un cumplimiento normativo optimizado. Nuestra comparativa, seleccionada y actualizada semanalmente, entre opciones gratuitas y de pago te ayuda a encontrar la que mejor se adapta a tus necesidades. Aprovecha al máximo las ventajas de la IA con las recomendaciones de los expertos de XIX.AI.
10 herramientas
xix.ai
