Дом
Сообщество специалистов по искусственному интеллекту встревожено: библиотека litellm стала жертвой атаки на цепочку поставок программного обеспечения
Сообщество разработчиков ИИ потрясло недавнее предупреждение известного учёного в области ИИ Андрея Карпати, в котором он сообщил о целенаправленной атаке по заражению цепочки поставок программного обеспечения для ИИ. Целью атаки стала популярная библиотека Python litellm, которая насчитывает более 40 000 звездочек на GitHub и почти 100 миллионов скачиваний в месяц. Поскольку эта библиотека является универсальным адаптером для вызова основных API моделей ИИ, её взлом вызвал эффект домино, который может повлиять на всю цепочку инструментов разработки ИИ.
Заражение при установке: «невидимая» работа вредоносного кода
Скрытность атаки обусловлена ее хитроумным триггером. Злоумышленники вставили вредоносный .pth файл в два конкретных релиза litellm на PyPI (версии 1.82.7 и 1.82.8).
Автоматическое выполнение: простая установка любой из этих скомпрометированных версий через pip install приводит к автоматическому запуску вредоносного кода при каждом запуске процесса Python. Не требуется никакого ручного импорта или вызова функций — ваша система подвергается риску сразу после завершения установки.
Всесторонний утечка данных: после активации код активно собирает широкий спектр конфиденциальных данных хоста. Сюда входят SSH-ключи, учетные данные облачных сервисов (AWS/GCP), ключи Kubernetes, кошельки криптовалют и все переменные среды — которые часто содержат ценные API-ключи для больших моделей. Похищенная информация шифруется и передается на удаленный сервер злоумышленника.
Неожиданный поворот: злоумышленник раскрыт из-за «ошибки»
Это преступление, которое могло остаться незамеченным надолго, было сорвано собственной ошибкой хакера. Один из разработчиков заметил, что при использовании расширения в редакторе Cursor потребление памяти его компьютера внезапно резко возросло.
Расследование показало, что вредоносный код запустил «форк-бомбу» — экспоненциальное размножение процессов, которое быстро вывело систему из строя. Эта нестабильность стала ключевой зацепкой, позволившей исследователям в области безопасности отследить проблему до зараженного пакета. Карпати отметил, что если бы код злоумышленника был написан более грамотно, эта крупномасштабная кража могла бы продолжаться до сих пор.
Цепная реакция: как инструменты безопасности стали «носителем ножа»
Этот инцидент подчеркивает цепь сбоев в цепочке поставок. Группа злоумышленников TeamPCP сначала взломала инструмент сканирования безопасности Trivy. Используя украденные учетные данные, они получили токен выпуска litellm , обошли проверку кода и загрузили вредоносный пакет напрямую на PyPI.
Последствия обширны. Более 2000 широко используемых инструментов ИИ, включая DSPy, MLflow и Open Interpreter, косвенно полагаются на эту библиотеку. Эксперты по безопасности настоятельно рекомендуют разработчикам проверить свои установки, запустив pip show litellm. Если версия 1.82.7 или выше, следует считать, что произошла полная утечка учетных данных, и немедленно сменить все конфиденциальные ключи и токены.
Связанная статья
Управление киберпространства Китая вводит обязательную маркировку коротких видеороликов, созданных с помощью искусственного интеллекта, а также вымышленных видеороликов
Управление киберпространства Китая представило комплексный план по стандартизации маркировки контента коротких видеороликов, обязывающий платформы использовать шесть обязательных меток, в том числе «К
DeepL, известная своими услугами по переводу текстов, теперь занимается переводом речи
DeepL, компания-переводчик, наиболее известная своими инструментами для перевода текстов, сегодня представила набор решений для перевода «голос-голос», предназначенный для таких сценариев, как встречи
Заметки Талата по искусственному интеллекту хранятся прямо на вашем устройстве, а не в облаке
Granola — приложение для ведения заметок на базе искусственного интеллекта, оцениваемое в 250 миллионов долларов, — завоевало популярность среди основателей технологических компаний и венчурных инвест
Рекомендации по связанным специальным темам
письмо
Лучшие программы для создания персонажей в жанре научной фантастики: генерация последовательных мотиваций персонажей и их роковых недостатков
Откройте для себя 20 лучших инструментов 2026 года для создания персонажей с помощью искусственного интеллекта, которые помогут вам придать своим героям глубину. В тщательно подобранном списке XIX.AI представлены самые популярные и революционные инструменты, способные генерировать правдоподобные мотивации и роковые недостатки персонажей. Сравните бесплатные и платные варианты на основе реальных тестов. Раскройте свой потенциал в области создания историй уже сейчас.
10 инструментов
xix.ai
Бизнес
Лучшее ПО для оптимизации цен с помощью ИИ: отслеживание конкурентов и автоматическая корректировка цен в магазине
Откройте для себя лучшее программное обеспечение 2026 года для оптимизации цен с помощью ИИ на сайте XIX.AI. В нашем тщательно подобранном списке представлены высокооцененные, революционные инструменты, которые отслеживают конкурентов и автоматически корректируют цены в вашем магазине для получения максимальной прибыли. Сравните бесплатные и платные варианты на основе реальных тестов. Получите преимущество в ценообразовании уже сейчас.
10 инструментов
xix.ai
код
Лучшие системы проверки кода на основе ИИ: автоматизация обеспечения соответствия стандартам чистого кода и рефакторинг файлов в устаревших репозиториях
Откройте для себя 20 лучших рецензентов кода на базе ИИ 2026 года на XIX.AI. В нашем тщательно составленном списке представлены высокооцененные, революционные инструменты для автоматизации проверки соответствия стандартам чистого кода и рефакторинга файлов в устаревших репозиториях. Сравните бесплатные и платные варианты с помощью реальных тестов и еженедельно обновляемых рейтингов. Получите преимущество ИИ уже сегодня.
10 инструментов
xix.ai
Преобразование текста в речь
Лучшие приложения с функцией преобразования текста в речь на базе ИИ для детей с дислексией: помощь в обучении и повышение эффективности чтения
Откройте для себя лучшие приложения с технологией TTS на базе искусственного интеллекта 2026 года, специально отобранные для помощи людям с дислексией. В нашем рейтинге экспертов сравниваются бесплатные и платные инструменты, а также освещаются мощные функции, способствующие повышению эффективности чтения и обучения. Откройте для себя революционные решения, которые обязательно стоит попробовать, чтобы раскрыть потенциал учащихся. Начните свое путешествие на XIX.AI.
10 инструментов
xix.ai
Создание комиксов
Лучшие генераторы на базе ИИ для сёнэн-манги: создавайте динамичные сцены боевых действий и эффекты энергии
Откройте для себя лучшие генераторы искусственного интеллекта для манги в стиле «сёнен» 2026 года на сайте XIX.AI. В нашем тщательно отобранном списке представлены мощные инструменты для создания динамичных сцен боевых действий и эффектных энергетических эффектов. Сравните бесплатные и платные варианты на основе реальных тестов. Раскройте свой творческий потенциал и начните создавать эпическую мангу уже сегодня!
15 инструментов
xix.ai
Бизнес
Лучшие приложения для учета расходов на базе ИИ: сканируйте чеки и автоматически классифицируйте корпоративные расходы
Лучшие программы для учета расходов с ИИ 2026 года: самые популярные инструменты для сканирования чеков и автоматической классификации корпоративных расходов. Откройте для себя мощные, революционные решения для удобного управления расходами, точного финансового мониторинга и оптимизации соблюдения нормативных требований. Наш тщательно составленный и еженедельно обновляемый обзор бесплатных и платных вариантов поможет вам найти идеальный вариант. Воспользуйтесь преимуществами ИИ с помощью рекомендаций экспертов XIX.AI.
10 инструментов
xix.ai
Комментарии (0)
Сообщество разработчиков ИИ потрясло недавнее предупреждение известного учёного в области ИИ Андрея Карпати, в котором он сообщил о целенаправленной атаке по заражению цепочки поставок программного обеспечения для ИИ. Целью атаки стала популярная библиотека Python litellm, которая насчитывает более 40 000 звездочек на GitHub и почти 100 миллионов скачиваний в месяц. Поскольку эта библиотека является универсальным адаптером для вызова основных API моделей ИИ, её взлом вызвал эффект домино, который может повлиять на всю цепочку инструментов разработки ИИ.
Заражение при установке: «невидимая» работа вредоносного кода
Скрытность атаки обусловлена ее хитроумным триггером. Злоумышленники вставили вредоносный .pth файл в два конкретных релиза
Автоматическое выполнение: простая установка любой из этих скомпрометированных версий через pip install приводит к автоматическому запуску вредоносного кода при каждом запуске процесса Python. Не требуется никакого ручного импорта или вызова функций — ваша система подвергается риску сразу после завершения установки.
Всесторонний утечка данных: после активации код активно собирает широкий спектр конфиденциальных данных хоста. Сюда входят SSH-ключи, учетные данные облачных сервисов (AWS/GCP), ключи Kubernetes, кошельки криптовалют и все переменные среды — которые часто содержат ценные API-ключи для больших моделей. Похищенная информация шифруется и передается на удаленный сервер злоумышленника.
Неожиданный поворот: злоумышленник раскрыт из-за «ошибки»
Это преступление, которое могло остаться незамеченным надолго, было сорвано собственной ошибкой хакера. Один из разработчиков заметил, что при использовании расширения в редакторе Cursor потребление памяти его компьютера внезапно резко возросло.
Расследование показало, что вредоносный код запустил «форк-бомбу» — экспоненциальное размножение процессов, которое быстро вывело систему из строя. Эта нестабильность стала ключевой зацепкой, позволившей исследователям в области безопасности отследить проблему до зараженного пакета. Карпати отметил, что если бы код злоумышленника был написан более грамотно, эта крупномасштабная кража могла бы продолжаться до сих пор.
Цепная реакция: как инструменты безопасности стали «носителем ножа»
Этот инцидент подчеркивает цепь сбоев в цепочке поставок. Группа злоумышленников TeamPCP сначала взломала инструмент сканирования безопасности Trivy. Используя украденные учетные данные, они получили токен выпуска
Последствия обширны. Более 2000 широко используемых инструментов ИИ, включая DSPy, MLflow и Open Interpreter, косвенно полагаются на эту библиотеку. Эксперты по безопасности настоятельно рекомендуют разработчикам проверить свои установки, запустив pip show litellm. Если версия 1.82.7 или выше, следует считать, что произошла полная утечка учетных данных, и немедленно сменить все конфиденциальные ключи и токены.
Управление киберпространства Китая вводит обязательную маркировку коротких видеороликов, созданных с помощью искусственного интеллекта, а также вымышленных видеороликов
Управление киберпространства Китая представило комплексный план по стандартизации маркировки контента коротких видеороликов, обязывающий платформы использовать шесть обязательных меток, в том числе «К
DeepL, известная своими услугами по переводу текстов, теперь занимается переводом речи
DeepL, компания-переводчик, наиболее известная своими инструментами для перевода текстов, сегодня представила набор решений для перевода «голос-голос», предназначенный для таких сценариев, как встречи
Заметки Талата по искусственному интеллекту хранятся прямо на вашем устройстве, а не в облаке
Granola — приложение для ведения заметок на базе искусственного интеллекта, оцениваемое в 250 миллионов долларов, — завоевало популярность среди основателей технологических компаний и венчурных инвест
Откройте для себя 20 лучших инструментов 2026 года для создания персонажей с помощью искусственного интеллекта, которые помогут вам придать своим героям глубину. В тщательно подобранном списке XIX.AI представлены самые популярные и революционные инструменты, способные генерировать правдоподобные мотивации и роковые недостатки персонажей. Сравните бесплатные и платные варианты на основе реальных тестов. Раскройте свой потенциал в области создания историй уже сейчас.
10 инструментов
xix.ai
Откройте для себя лучшее программное обеспечение 2026 года для оптимизации цен с помощью ИИ на сайте XIX.AI. В нашем тщательно подобранном списке представлены высокооцененные, революционные инструменты, которые отслеживают конкурентов и автоматически корректируют цены в вашем магазине для получения максимальной прибыли. Сравните бесплатные и платные варианты на основе реальных тестов. Получите преимущество в ценообразовании уже сейчас.
10 инструментов
xix.ai
Откройте для себя 20 лучших рецензентов кода на базе ИИ 2026 года на XIX.AI. В нашем тщательно составленном списке представлены высокооцененные, революционные инструменты для автоматизации проверки соответствия стандартам чистого кода и рефакторинга файлов в устаревших репозиториях. Сравните бесплатные и платные варианты с помощью реальных тестов и еженедельно обновляемых рейтингов. Получите преимущество ИИ уже сегодня.
10 инструментов
xix.ai
Откройте для себя лучшие приложения с технологией TTS на базе искусственного интеллекта 2026 года, специально отобранные для помощи людям с дислексией. В нашем рейтинге экспертов сравниваются бесплатные и платные инструменты, а также освещаются мощные функции, способствующие повышению эффективности чтения и обучения. Откройте для себя революционные решения, которые обязательно стоит попробовать, чтобы раскрыть потенциал учащихся. Начните свое путешествие на XIX.AI.
10 инструментов
xix.ai
Откройте для себя лучшие генераторы искусственного интеллекта для манги в стиле «сёнен» 2026 года на сайте XIX.AI. В нашем тщательно отобранном списке представлены мощные инструменты для создания динамичных сцен боевых действий и эффектных энергетических эффектов. Сравните бесплатные и платные варианты на основе реальных тестов. Раскройте свой творческий потенциал и начните создавать эпическую мангу уже сегодня!
15 инструментов
xix.ai
Лучшие программы для учета расходов с ИИ 2026 года: самые популярные инструменты для сканирования чеков и автоматической классификации корпоративных расходов. Откройте для себя мощные, революционные решения для удобного управления расходами, точного финансового мониторинга и оптимизации соблюдения нормативных требований. Наш тщательно составленный и еженедельно обновляемый обзор бесплатных и платных вариантов поможет вам найти идеальный вариант. Воспользуйтесь преимуществами ИИ с помощью рекомендаций экспертов XIX.AI.
10 инструментов
xix.ai
