وفقًا لمراقبة 1M AI News، نشر أحد أعضاء فريق مؤسسي OpenAI، أندريه كارباتي، تغريدة قال فيها إن هجوم سلسلة التوريد على أداة تطوير الوكيل الذكي LiteLLM هو “أحد أخطر الأمور في البرمجيات الحديثة”. تم تنزيل LiteLLM أكثر من 97 مليون مرة شهريًا، وتم سحب الإصدارين المسممين v1.82.7 و v1.82.8 من PyPI.
يكفي أمر واحد pip install litellm لسرقة مفاتيح SSH على الجهاز، وشهادات السحابة AWS/GCP/Azure، وتكوين Kubernetes، وشهادات git، والمتغيرات البيئية (بما في ذلك جميع مفاتيح API)، وسجل الأوامر في shell، والمحافظ المشفرة، والمفاتيح الخاصة SSL، ومفاتيح CI/CD، وكلمات مرور قواعد البيانات. يتم تغليف البيانات الخبيثة باستخدام تشفير RSA بقوة 4096 بت وإرسالها إلى نطاق مزيف models.litellm.cloud، كما تحاول إنشاء حاويات ذات صلاحيات عالية في مساحة الأسماء kube-system في مجموعة Kubernetes لزرع باب خلفي دائم.
الأخطر هو قابلية الانتشار: أي مشروع يعتمد على LiteLLM يمكن أن يصاب أيضًا، على سبيل المثال، الأمر pip install dspy (الاعتماد على litellm>=1.64.0) سيؤدي أيضًا إلى تشغيل الكود الخبيث. استمرت النسخ المسممة في الظهور على PyPI لمدة ساعة تقريبًا قبل اكتشافها، والسبب ساخر: الكود الخبيث للمهاجم نفسه يحتوي على خطأ برمجي يتسبب في استهلاك الذاكرة وانهياره. عندما استخدم المطور Callum McMahon أداة البرمجة الذكية Cursor مع إضافة MCP، تم إدخال LiteLLM كاعتماد وسيط، وعند التثبيت تعطلت الجهاز مباشرة، مما كشف عن الهجوم. وعلق كارباتي قائلاً: “إذا لم تكن لدى المهاجمين vibe code، فربما لن يُكتشف هذا الهجوم لعدة أيام أو أسابيع.”
في نهاية فبراير، استغل فريق TeamPCP ثغرة في أداة Trivy لفحص الثغرات في أنابيب CI/CD الخاصة بـ LiteLLM على GitHub Actions، وهاجم وسرق رموز إصدار PyPI، ثم تجاوز نظام GitHub ورفع إصدارات خبيثة مباشرة إلى PyPI. قال مدير Berri AI، Krrish Dholakia، إنه قام بحذف جميع رموز الإصدار، ويخطط للتحول إلى آلية إصدار موثوقة تعتمد على JWT. أصدرت PyPA إشعار أمني PYSEC-2026-2، ونصحت جميع المستخدمين الذين قاموا بتثبيت الإصدارات المتأثرة بتوقع أن جميع الشهادات في بيئتهم قد تكون تسربت، ويجب عليهم استبدالها على الفور.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
إيران تخطط لإعادة فتح سوق الأسهم خلال 10-12 يومًا، مع استثناء الشركات المتأثرة بالحرب
وفقًا لـ IRNA، تخطط إيران لإعادة فتح سوق الأوراق المالية خلال 10–12 يومًا، لكن ستظل رموز الأسهم للشركات التي تكبدت خسائر حربية مباشرة معلقة.
ملخص: أعلن رئيس بورصة الأوراق المالية في إيران أن السوق سيتم إعادة فتحه خلال حوالي 10 إلى 12 يومًا، وفقًا لـ IRNA، مع استئناف التداول لمعظم الإدراجات بينما تظل رموز الشركات المتضررة بخسائر حربية مباشرة معلقة.
GateNewsمنذ 5 د
قائد القيادة الأمريكية في منطقة المحيطين الهندي والهادئ يبرز إمكانات البيتكوين بوصفها «أداة لعلوم الحاسوب»
رسالة من Gate News، 21 أبريل — أدلى الأدميرال صمويل بابارو، قائد قيادة المحيطين الهندي والهادئ في الولايات المتحدة، بشهادته أمام مجلس الشيوخ بأن البيتكوين تُظهر إمكانات كبيرة كأداة في علوم الحاسوب وتحمل قيمة كوسيلة لإسقاط القوة. وذكر بابارو أن البيتكوين واقع ملموس مع تطبيقات ذات معنى في هذا السياق w
GateNewsمنذ 10 د
WTI原油在$84 下跌11%,因地缘政治紧张局势缓和
WTI原油在$84 下跌11%,因中东紧张局势缓和,缓解了此前推高价格的供给担忧。
GateNewsمنذ 1 س
مايرسك ينصح بعدم الشحن عبر مضيق هرمز في ظل وضع جيوسياسي شديد الديناميكية
رسالة أخبار البوابة، 21 أبريل — ذكر عملاق الشحن مايرسك أن الوضع الجيوسياسي الحالي لا يزال شديد الديناميكية، ونصح بعدم الشحن عبر مضيق هرمز.
GateNewsمنذ 1 س
ماذا يعني انخفاض تقلبات البيتكوين مؤخرًا عن مؤشر كوريا كوسبي (KOSPI) الشامل؟
يشير التقرير إلى أن تقلبات البيتكوين خلال الشهر الأخير انخفضت إلى نحو 42%، وأن السعر ظل ثابتًا ضمن نطاق 65,000–75,000 دولار، وهو ما يقل بشكل ملحوظ عن تقلبات مؤشر Kospi. إن موافقة صناديق الولايات المتحدة الفورية المتداولة في البورصة جذب تدفقات رأسمالية من المؤسسات، ما يعزز السيولة وقدرات التحوط، ويقوي مناعة البيتكوين. وقد أبرزت الأسواق المالية في كوريا الجنوبية، بسبب مخاطر إمدادات الطاقة في الشرق الأوسط وتذبذب أسعار النفط بشكل حاد، دور البيتكوين كموجود ملاذ آمن أكثر استقرارًا نسبيًا ومتحررًا من التأثيرات الوطنية.
ChainNewsAbmediaمنذ 1 س
تعمل العملات البديلة على الارتفاع من جديد فوق 1.3 تريليون دولار مع تعافي الأسواق بعد حل أزمة غرينلاند
في 22 يناير، تعافت العملات البديلة بنسبة تقارب 10% لتصل إلى 1.39 تريليون دولار، وذلك بسبب تراجع حدة التوترات العالمية، حيث قادت إيثريوم المكاسب. وعلى الرغم من وجود بعض التقلبات، استقر إجمالي القيمة السوقية عند 1.32 تريليون دولار بينما أظهرت العملات البديلة الأخرى أيضًا تعافيًا متواضعًا.
Coinpediaمنذ 3 س
