尽管46分钟恶意版本就被移除， 但鉴于其单日300万+次、单月近亿次的下载量，仍对下游数千个AI项目造成极大影响 。公开报道显示，攻击者TeamPCP声称已窃取数 十万台设备 的数据。此次事件基本脉络如下（UTC时间）： ...

3月24日，月均安装量达9500万次的开源AI工具LiteLLM在PyPI仓库发布的两个版本（1.82.7和1.82.8）遭供应链投毒。这两个恶意版本携带复杂的三阶段攻击负载，能窃取SSH密钥、云凭据等敏感数据，并利用.pth文件实现自动触发，隐蔽性极高。攻击由黑客组织TeamPCP发起，其通过此前入侵的Trivy工具获取了LiteLLM的发布权限。受影响用户应立即检查版本，更换所有相关密钥，并降 ...

近日，人工智能领域发生了一起震动全球开发者的安全事件。作为AI开发核心枢纽的LiteLLM网关遭遇供应链投毒攻击，大量使用者的密钥与敏感信息被窃取。这一事件被业界称为“教科书级别的供应链攻击”，其影响范围之广、危害程度之深，再次暴露出当前AI供应链体系的安全隐患。 LiteLLM作为AI网关，能够代理100多种大语言模型（LLM）的API，被广泛应用于AI编程与服务编排场景。目前其在GitHub上 ...

但是也有人质疑卡帕西的“利用LLM提取功能”的这一措施，表示“只是把一个未经审查的代码库换成了一个LLM输出的而已”。这个就比较见仁见智了，使用LLM过滤一遍对提高代码安全性是否存在帮助依然非常依赖提示词。

近日，开源AI API网关LiteLLM遭遇供应链投毒事件，引发全球开发者社区高度关注。作为支撑数千家企业AI架构的核心工具，该平台每月安装量高达9500万次，支持通过统一接口调用OpenAI、Anthropic等100余家服务商的API服务。此次攻击导致两个恶意版本（1.82.7和1.82.8）在PyPI官方仓库短暂发布，现已被紧急撤下。

进入2026年，随着AI算力集群全面向更高算力密度演进，1.6T光模块步入规模化放量元年，上游核心元器件（DSP、EML、硅光产能与隔离器）的供应正面临新一轮的趋紧态势。 【DSP：博通与Marvell双寡头垄断，先进制程产能成瓶颈】 数字信号处理器（DSP）是光模块中进行高速信号恢复和非线性补偿的核心芯片，其性能直接决定了光模块的传输距离和功耗。当前，高端DSP赛道呈现极度集中的寡头垄断格局。