【AI 资源之家讯】安全研究人员近日发现,知名 AI 训练库 PyTorch Lightning 的 PyPI 软件包在版本 2.6.2 和 2.6.3 中被植入恶意代码,恶意软件被命名为 "Mini Shai-Hulud",属于供应链攻击范畴。
该恶意软件在包导入时自动触发,企图窃取用户凭据。攻击者通过污染开源软件包源的方式,实现对开发者机器的入侵,这种攻击方式隐蔽性强、危害范围广。
目前,PyTorch Lightning 团队已确认问题并发布修复版本。安全专家建议所有使用该库的用户立即检查并更新至安全版本,同时排查是否存在凭据泄露风险。
此次事件再次暴露了开源软件供应链的脆弱性。业内呼吁建立更完善的包管理安全机制,包括签名验证、自动化安全扫描等措施,保护开发者生态安全。
来源:AI 资源之家整理自 Semgrep
正文完
