وفقًا لمراقبة 1M AI News، نشر أحد أعضاء فريق مؤسسي OpenAI، أندريه كارباتي، تغريدة قال فيها إن هجوم سلسلة التوريد على أداة تطوير الوكيل الذكي LiteLLM هو “أحد أخطر الأمور في البرمجيات الحديثة”. تم تنزيل LiteLLM أكثر من 97 مليون مرة شهريًا، وتم سحب الإصدارين المسممين v1.82.7 و v1.82.8 من PyPI.
يكفي أمر واحد pip install litellm لسرقة مفاتيح SSH على الجهاز، وشهادات السحابة AWS/GCP/Azure، وتكوين Kubernetes، وشهادات git، والمتغيرات البيئية (بما في ذلك جميع مفاتيح API)، وسجل الأوامر في shell، والمحافظ المشفرة، والمفاتيح الخاصة SSL، ومفاتيح CI/CD، وكلمات مرور قواعد البيانات. يتم تغليف البيانات الخبيثة باستخدام تشفير RSA بقوة 4096 بت وإرسالها إلى نطاق مزيف models.litellm.cloud، كما تحاول إنشاء حاويات ذات صلاحيات عالية في مساحة الأسماء kube-system في مجموعة Kubernetes لزرع باب خلفي دائم.
الأخطر هو قابلية الانتشار: أي مشروع يعتمد على LiteLLM يمكن أن يصاب أيضًا، على سبيل المثال، الأمر pip install dspy (الاعتماد على litellm>=1.64.0) سيؤدي أيضًا إلى تشغيل الكود الخبيث. استمرت النسخ المسممة في الظهور على PyPI لمدة ساعة تقريبًا قبل اكتشافها، والسبب ساخر: الكود الخبيث للمهاجم نفسه يحتوي على خطأ برمجي يتسبب في استهلاك الذاكرة وانهياره. عندما استخدم المطور Callum McMahon أداة البرمجة الذكية Cursor مع إضافة MCP، تم إدخال LiteLLM كاعتماد وسيط، وعند التثبيت تعطلت الجهاز مباشرة، مما كشف عن الهجوم. وعلق كارباتي قائلاً: “إذا لم تكن لدى المهاجمين vibe code، فربما لن يُكتشف هذا الهجوم لعدة أيام أو أسابيع.”
في نهاية فبراير، استغل فريق TeamPCP ثغرة في أداة Trivy لفحص الثغرات في أنابيب CI/CD الخاصة بـ LiteLLM على GitHub Actions، وهاجم وسرق رموز إصدار PyPI، ثم تجاوز نظام GitHub ورفع إصدارات خبيثة مباشرة إلى PyPI. قال مدير Berri AI، Krrish Dholakia، إنه قام بحذف جميع رموز الإصدار، ويخطط للتحول إلى آلية إصدار موثوقة تعتمد على JWT. أصدرت PyPA إشعار أمني PYSEC-2026-2، ونصحت جميع المستخدمين الذين قاموا بتثبيت الإصدارات المتأثرة بتوقع أن جميع الشهادات في بيئتهم قد تكون تسربت، ويجب عليهم استبدالها على الفور.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
إيران والولايات المتحدة تقومان بصياغة مذكرة تفاهم لإطار سلام دائم
أعلن مسؤول إيراني أن إيران والولايات المتحدة تقومان بصياغة مذكرة تفاهم لاتفاق سلام دائم، على أن تُجرى المفاوضات في باكستان مع إطار زمني مدته 60 يومًا للمتابعة.
GateNewsمنذ 31 د
رئيس البرلمان الإيراني يقول إن تصريحات ترامب السبع «غير صحيحة بالكامل»
رئيس البرلمان الإيراني محمد باقر قاليباف زعم أن جميع التصريحات التي أدلى بها الرئيس الأمريكي دونالد ترامب خلال ساعة كانت "غير صحيحة بالكامل"، دون توضيح التصريحات التي كان يقصدها.
GateNewsمنذ 41 د
ترامب يقول إن الحصار البحري على إيران سيستمر حتى اكتمال الصفقة
أعلن الرئيس ترامب عبر وسائل التواصل الاجتماعي أن الحصار البحري على إيران سيستمر حتى يتم إتمام صفقة كاملة، مع التأكيد على أن المفاوضات على وشك الانتهاء ويجب أن تُستكمل بسرعة.
GateNewsمنذ 10 س
مناقشة خطة لإنهاء الحرب بين الولايات المتحدة وإيران، وواشنطن تفك تجميد $20B في أموال إيرانية مقابل تنازلات تخص اليورانيوم
تتفاوض الولايات المتحدة وإيران على خطة لتسوية النزاع، تشمل فك تجميد $20 مليار دولار من الأصول الإيرانية مقابل قيام إيران بالتخلي عن مخزونها من اليورانيوم المخصب. من المقرر أن تبدأ المحادثات في 20 أبريل في إسلام آباد.
GateNewsمنذ 10 س
وزير مالية فرنسا يدعو إلى التوسع في العملات المستقرة المدعومة باليورو
يدعو وزير المالية الفرنسي رولان ليسكور إلى اعتماد عملات مستقرة مقومة باليورو، ويحث البنوك على النظر في الودائع المرمّزة، ويدعم خطط تحالف Qivalis لإطلاق عملة مستقرة مربوطة باليورو بحلول عام 2026 لمواجهة هيمنة المدفوعات الرقمية الأمريكية. يشير ذلك إلى تحول عن السياسات الفرنسية السابقة التي كانت تعارض العملات المستقرة الخاصة.
GateNewsمنذ 10 س
الصين تعزز الإطار التشريعي للذكاء الاصطناعي والاقتصاد الرقمي وسلسلة الكتل
تخطط الصين لتعزيز نظامها القانوني للشبكات لتلبية احتياجات تطوير الإنترنت، مع التركيز على التشريعات الخاصة بالذكاء الاصطناعي والاقتصاد الرقمي وقطاعات تقنية أخرى. بحلول ديسمبر 2025، يُتوقع إصدار أكثر من 180 قانونًا، رغم أن اللوائح الحالية ما زالت متأخرة عن توقعات الجمهور.
GateNewsمنذ 11 س
