官方Simon Willison2026/03/30 02:464750
• 基于OSV.dev API构建漏洞查询工具
• 支持CORS和文件集成查询
该工具利用OSV.dev API,通过pyproject.toml或requirements.txt文件查询Python依赖项的漏洞。核心亮点在于集成开源漏洞数据库,支持CORS,便于开发者在项目中直接使用,提升代码安全和供应链透明度。
专题:supply-chain
按该标签聚合的大模型资讯列表(自动分类与标签提取)。共 5 篇文章。
官方Simon Willison2026/03/27 07:585860
• PyPI上发现LiteLLM恶意版本
• 恶意代码通过Docker容器确认
本文描述了LiteLLM在PyPI上遭遇恶意软件攻击的事件,包括恶意代码的检测与确认过程。攻击者通过篡改包文件注入恶意代码,可能感染所有安装或升级该版本的用户。事件凸显了AI供应链安全的重要性,对开发者和研究人员具有警示作用。
官方Simon Willison2026/03/26 01:214840
• LiteLLM包被恶意篡改,46,996次下载
• 88%依赖包未指定版本号,风险扩散
文章分析了LiteLLM在PyPI上被恶意篡改的事件,统计了被攻击版本的下载次数,并指出大量依赖包未指定版本号,导致安全风险扩散。事件涉及软件包管理、供应链安全和Python生态,对开发者具有重要参考价值。
官方Simon Willison2026/03/24 23:075850
• 恶意文件通过安装触发凭证窃取
• 漏洞源于 Trivy 安全工具
LiteLLM v1.82.8 包被植入恶意文件 `litellm_init.pth`,通过 Base64 编码隐藏,安装即可触发凭证窃取。该漏洞可能源于对 Trivy 工具的利用,攻击者借此窃取用户敏感信息。PyPI 已将该包隔离,事件影响范围有限但危害严重。
社区Reddit r/LocalLLaMA2026/02/22 18:232650
QWED‑AI 是一个开源项目,使用 SymPy、Z3、AST 与 schema validation 对 AI 生成的数学、SQL、结构化数据等输出进行确定性验证,已具备 SBOM、CI 安全检查、OpenSSF Silver 徽章和签名容器等功能。项目现招聘安全工程师,负责威胁模型审查、供应链加固、验证方法改进及运行时漏洞发现,适合关注高风险环境 AI…