وفقًا لمراقبة 1M AI News، نشر أحد أعضاء فريق مؤسسي OpenAI، أندريه كارباتي، تغريدة قال فيها إن هجوم سلسلة التوريد على أداة تطوير الوكيل الذكي LiteLLM هو “أحد أخطر الأمور في البرمجيات الحديثة”. تم تنزيل LiteLLM أكثر من 97 مليون مرة شهريًا، وتم سحب الإصدارين المسممين v1.82.7 و v1.82.8 من PyPI.
يكفي أمر واحد pip install litellm لسرقة مفاتيح SSH على الجهاز، وشهادات السحابة AWS/GCP/Azure، وتكوين Kubernetes، وشهادات git، والمتغيرات البيئية (بما في ذلك جميع مفاتيح API)، وسجل الأوامر في shell، والمحافظ المشفرة، والمفاتيح الخاصة SSL، ومفاتيح CI/CD، وكلمات مرور قواعد البيانات. يتم تغليف البيانات الخبيثة باستخدام تشفير RSA بقوة 4096 بت وإرسالها إلى نطاق مزيف models.litellm.cloud، كما تحاول إنشاء حاويات ذات صلاحيات عالية في مساحة الأسماء kube-system في مجموعة Kubernetes لزرع باب خلفي دائم.
الأخطر هو قابلية الانتشار: أي مشروع يعتمد على LiteLLM يمكن أن يصاب أيضًا، على سبيل المثال، الأمر pip install dspy (الاعتماد على litellm>=1.64.0) سيؤدي أيضًا إلى تشغيل الكود الخبيث. استمرت النسخ المسممة في الظهور على PyPI لمدة ساعة تقريبًا قبل اكتشافها، والسبب ساخر: الكود الخبيث للمهاجم نفسه يحتوي على خطأ برمجي يتسبب في استهلاك الذاكرة وانهياره. عندما استخدم المطور Callum McMahon أداة البرمجة الذكية Cursor مع إضافة MCP، تم إدخال LiteLLM كاعتماد وسيط، وعند التثبيت تعطلت الجهاز مباشرة، مما كشف عن الهجوم. وعلق كارباتي قائلاً: “إذا لم تكن لدى المهاجمين vibe code، فربما لن يُكتشف هذا الهجوم لعدة أيام أو أسابيع.”
في نهاية فبراير، استغل فريق TeamPCP ثغرة في أداة Trivy لفحص الثغرات في أنابيب CI/CD الخاصة بـ LiteLLM على GitHub Actions، وهاجم وسرق رموز إصدار PyPI، ثم تجاوز نظام GitHub ورفع إصدارات خبيثة مباشرة إلى PyPI. قال مدير Berri AI، Krrish Dholakia، إنه قام بحذف جميع رموز الإصدار، ويخطط للتحول إلى آلية إصدار موثوقة تعتمد على JWT. أصدرت PyPA إشعار أمني PYSEC-2026-2، ونصحت جميع المستخدمين الذين قاموا بتثبيت الإصدارات المتأثرة بتوقع أن جميع الشهادات في بيئتهم قد تكون تسربت، ويجب عليهم استبدالها على الفور.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
كيفن أوب ليري يقول إن طفرة تحويل الأصول إلى رموز لا تزال مجرد حديث دون قواعد واضحة للعملات المشفرة
صرّح كيفن أوبراينلي مؤخراً بأن طفرة توكينزشن في وول ستريت تفتقر إلى أساس متين دون وجود تنظيم واضح للعملات المشفرة في الولايات المتحدة ومعايير امتثال محددة. ووفقاً لأوبراينلي، لا يزال المستثمرون المؤسسيون ينظرون إلى التوكينزشن باعتباره شديد المخاطر في غياب وضوح تنظيمي، ما يحد من اتساع السوق
GateNewsمنذ 43 د
بيتكوين تسجل 82,000 دولار مع استمرار سالب التمويل لمدة 67 يوماً وصولاً إلى أعلى مستوى في عقد
وفقاً لأبحاث K33، بلغ سعر البيتكوين 82,000 دولار يوم الأربعاء، مسجلاً أعلى مستوى له منذ أكثر من ثلاثة أشهر، في حين وصل إلى سلسلة من معدلات التمويل السلبية لمدة 67 يوماً، وهي الأطول في هذا العقد. كما أن فترة استمرار معدلات التمويل السلبية لمتوسط 30 يوماً الممتدة تتجاوز السجل السابق من 15 مارس إلى 1 مايو
GateNewsمنذ 9 س
تصاعد نزاع على حيازة أصول مجمّدة بقيمة 71 مليون دولار من Aave بعد حكم بشأن هجوم كوريا الشمالية: الاستناد إلى قانون التأمين لمكافحة الإرهاب
تصاعدت وتيرة هجمات كوريا الشمالية، إذ جُمّدت أصول بقيمة 71 مليونًا و100 ألف دولار من Aave في الجولة الثالثة. عدّل المدّعون حجّتهم ليطالبوا بأن ETH تُعدّ أموالًا تابعة للدولة الكورية الشمالية بموجب قانون TRIA، مؤكدين أن الأمر يتعلق بالاحتيال لا بالسرقة بهدف تجاوز دفوع “اللص لا يملك حيازة المسروق”، كما يطعنون في أهلية Aave (standing) ومكانتها في الحوكمة. نجح DeFi United في جمع أكثر من 328 مليون دولار، ما يعني أن التمويل كافٍ لتعويض المستخدمين المتضررين. قد تتحول القضية إلى سابقة محورية في فقه قضايا DeFi وحوكمة الـDAO.
ChainNewsAbmediaمنذ 11 س
آخر التطورات في صراع إيران وأميركا: انتهاء عملية «نار الملحمة»، وتحوُّل معنويات سوق العملات المشفّرة إلى تحسّن
6 مايو، أعلنت الولايات المتحدة انتهاء عملية «الغضب الملحمي»، مع تعليق خطة هرمز الحرة. ارتفع سعر البيتكوين إلى 81,700 دولار، وهدأت معنويات السوق.
GateInstantTrendsمنذ 16 س
أكدت الولايات المتحدة انتهاء عملية "الغضب الأسطوري" ضد إيران، وارتد سعر البيتكوين إلى 81 ألف دولار
وفقًا لبيان وزير الخارجية الأمريكي ماركو روبيو في 6 مايو، فإن عملية «الغضب الملحمي» ضد إيران قد انتهت رسميًا في الولايات المتحدة، وقد حقق الجانب الأمريكي الأهداف المعلنة للعملية. وفي اليوم نفسه، أعلن الرئيس الأمريكي دونالد ترامب بشكل علني أن «الخطة الحرة»، التي تهدف إلى تسهيل مرور السفن عبر مضيق هرمز، ستتوقف لفترة من الوقت. ارتد بيتكوين في ذلك اليوم إلى نحو 81,000 دولار، مسجلًا أعلى مستوى منذ أواخر يناير 2026.
MarketWhisperمنذ 17 س
