LiteLLM恶意包事件:47,000次下载暴露供应链风险
Simon Willison2026/03/26 01:21机翻/自动摘要/自动分类
4 阅读
内容评分
技术含量
8/10
营销水分
4/10
摘要
文章分析了LiteLLM在PyPI上被恶意篡改的事件,统计了被攻击版本的下载次数,并指出大量依赖包未指定版本号,导致安全风险扩散。事件涉及软件包管理、供应链安全和Python生态,对开发者具有重要参考价值。
正文
Daniel Hnyk利用Google Cloud BigQuery中的PyPI数据集,分析了LiteLLM包在被恶意篡改后的46分钟内被下载的次数。结果显示,两个被攻击的版本(1.82.7和1.82.8)总共被下载了46,996次。此外,研究还发现有2,337个依赖LiteLLM的包,其中88%未指定具体版本号,因此无法避免使用被攻击的版本。这一事件揭示了Python软件包管理平台PyPI在供应链安全方面的潜在漏洞,对开发者和研究人员具有重要警示意义。