整理 | 郑丽媛出品 | CSDN（ID：CSDNnews）如果你是一名 Python 开发者，对 pip install 命令肯定很熟悉——这是最常用的套件安装指令，可用来从 PyPI 或其它来源安装、升级与管理套件。但就在 3 月 24 ...

慢雾首席信息安全官 23pds 发推表示，月下载量高达 9700 万次的 Python AI 网关库 LiteLLM 遭遇 PyPI 供应链攻击，攻击者通过 pip install litellm 指令即可在用户设备上窃取敏感信息。可窃取的敏感数据包括：SSH 密钥、云服务凭据（AWS / GCP / Azure）、Kubernetes 配置文件、Git 凭据、环境变量中的 API 密钥、Shel ...

编辑｜冷猫这是一件极其严肃的软件安全事件。今天，Karpathy 发长推文警告全部开发者注意，GitHub 超过 4 万星，月下载量达 9700 万次的 Python 库 LiteLLM 在 PyPI 上被投毒。首先提请各位开发者检查自己的 ...

GitHub 上四万颗星，日均下载 340 万次，几乎是 AI 开发者电脑里都会出现的基础设施。 LiteLLM，昨晚被黑了。 只要你用过它，或者用了任何一个间接依赖它的工具，你电脑上的东西就会被打包带走：远程连接的私钥、AWS/GCP/Azure ...

如果AI开发者和企业大量依赖PyPI等开源包，而基础设施安全又仅仅寄托在「上游没有被黑」这种虚幻的假设上，类似危险的重演，可能只是时间问题。 LiteLLM只是一个开始，谁也无法回答那个最让人不安的问题： ...

AI 开发者圈内炸开了锅， 著名 AI 科学家 Andrej Karpathy 亲自发帖“预警”，揭露了一场针对 AI 供应链的精准投毒攻击。受害者正是 GitHub 超过4万星、每月下载量接近1亿次的 Python 库—— litellm 。由于该库是调用各大模型 API 的“ 万能 钥匙”，此次事件的影响力正如同多米诺骨牌般向整个 AI 工具链扩散。

在信息爆炸的时代，零散的资料收藏、重复的学习成本、低效的检索体验，让很多人陷入“知识焦虑”。而个人知识库的核心价值，正是将碎片化信息转化为结构化知识 ...