وفقًا لمراقبة 1M AI News، نشر أحد أعضاء فريق مؤسسي OpenAI، أندريه كارباتي، تغريدة قال فيها إن هجوم سلسلة التوريد على أداة تطوير الوكيل الذكي LiteLLM هو “أحد أخطر الأمور في البرمجيات الحديثة”. تم تنزيل LiteLLM أكثر من 97 مليون مرة شهريًا، وتم سحب الإصدارين المسممين v1.82.7 و v1.82.8 من PyPI.
يكفي أمر واحد pip install litellm لسرقة مفاتيح SSH على الجهاز، وشهادات السحابة AWS/GCP/Azure، وتكوين Kubernetes، وشهادات git، والمتغيرات البيئية (بما في ذلك جميع مفاتيح API)، وسجل الأوامر في shell، والمحافظ المشفرة، والمفاتيح الخاصة SSL، ومفاتيح CI/CD، وكلمات مرور قواعد البيانات. يتم تغليف البيانات الخبيثة باستخدام تشفير RSA بقوة 4096 بت وإرسالها إلى نطاق مزيف models.litellm.cloud، كما تحاول إنشاء حاويات ذات صلاحيات عالية في مساحة الأسماء kube-system في مجموعة Kubernetes لزرع باب خلفي دائم.
الأخطر هو قابلية الانتشار: أي مشروع يعتمد على LiteLLM يمكن أن يصاب أيضًا، على سبيل المثال، الأمر pip install dspy (الاعتماد على litellm>=1.64.0) سيؤدي أيضًا إلى تشغيل الكود الخبيث. استمرت النسخ المسممة في الظهور على PyPI لمدة ساعة تقريبًا قبل اكتشافها، والسبب ساخر: الكود الخبيث للمهاجم نفسه يحتوي على خطأ برمجي يتسبب في استهلاك الذاكرة وانهياره. عندما استخدم المطور Callum McMahon أداة البرمجة الذكية Cursor مع إضافة MCP، تم إدخال LiteLLM كاعتماد وسيط، وعند التثبيت تعطلت الجهاز مباشرة، مما كشف عن الهجوم. وعلق كارباتي قائلاً: “إذا لم تكن لدى المهاجمين vibe code، فربما لن يُكتشف هذا الهجوم لعدة أيام أو أسابيع.”
في نهاية فبراير، استغل فريق TeamPCP ثغرة في أداة Trivy لفحص الثغرات في أنابيب CI/CD الخاصة بـ LiteLLM على GitHub Actions، وهاجم وسرق رموز إصدار PyPI، ثم تجاوز نظام GitHub ورفع إصدارات خبيثة مباشرة إلى PyPI. قال مدير Berri AI، Krrish Dholakia، إنه قام بحذف جميع رموز الإصدار، ويخطط للتحول إلى آلية إصدار موثوقة تعتمد على JWT. أصدرت PyPA إشعار أمني PYSEC-2026-2، ونصحت جميع المستخدمين الذين قاموا بتثبيت الإصدارات المتأثرة بتوقع أن جميع الشهادات في بيئتهم قد تكون تسربت، ويجب عليهم استبدالها على الفور.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
التقرير اليومي لـ Gate (7 مايو): البيت الأبيض يعلن أن من المنتظر خلال "الأسابيع القليلة المقبلة" الكشف عن احتياطي البيتكوين؛ الرئيس التنفيذي المشارك في Samourai يدعو إلى التبرع بالعملات المشفرة
تراجعت بيتكوين (BTC) عن مكاسبها خلال الليل، وجرى تداولها مؤخرًا في 7 مايو عند حوالي 81,000 دولار. قال مستشار البيت الأبيض Patrick Witt إن أحدث المستجدات بشأن احتياطيات بيتكوين في الولايات المتحدة سيتم الإعلان عنها في «الأسابيع القليلة المقبلة». دعا المؤسس المشارك لمحفظة Samourai من السجن الفيدرالي إلى التبرع ببيتكوين، بينما تبدو آمال الرئيس دونالد ترامب في العفو بعيدة.
MarketWhisperمنذ 1 س
هل خرجت مذكرة السلام بين إيران والولايات المتحدة؟ هبوط أسعار النفط مع تسجيل أسهم الولايات المتحدة لأعلى مستوياتها على الإطلاق، وارتفاع البيتكوين إلى 82K
صدور مذكرة السلام بين إيران والولايات المتحدة، بما يشير إلى نهاية الحرب وإطار محادثات نووية، تراجع أسعار النفط بأكثر من 7% وتخفيف مخاطر الطاقة. بلغت أسواق الأسهم الأمريكية مستويات قياسية بدعم من الذكاء الاصطناعي وشركات أشباه الموصلات، مع تصدر AMD وNVIDIA الارتفاع. ارتفع سعر البيتكوين إلى نحو 82,850 دولارًا، مدفوعًا بتدفقات الأموال إلى صناديق الاستثمار الفورية المتداولة والضغط المتزامن على المراكز القصيرة. ارتفع TON بعد توليه إدارة الحوكمة في تيليجرام إلى 2.45 دولار، وبرزت وتيرة الصعود بشكل واضح.
ChainNewsAbmediaمنذ 2 س
مستشار البيت الأبيض للأصول الرقمية: إعلان احتياطي البيتكوين خلال أسابيع
صرّح باتريك ويت، الأمين العام للجنة الاستشارية للأصول الرقمية في البيت الأبيض، في 6 يونيو خلال مؤتمر Consensus 2026 في ميامي بأن إعلاناً بشأن احتياطي البيتكوين الاستراتيجي التابع للحكومة الأمريكية من المتوقع صدوره خلال أسابيع، وفقاً لـ CoinDesk. ويأتي هذا التصريح عقب تصريح الرئيس دونالد ترمب
CryptoFrontierمنذ 5 س
كيفن أوب ليري يقول إن طفرة تحويل الأصول إلى رموز لا تزال مجرد حديث دون قواعد واضحة للعملات المشفرة
صرّح كيفن أوبراينلي مؤخراً بأن طفرة توكينزشن في وول ستريت تفتقر إلى أساس متين دون وجود تنظيم واضح للعملات المشفرة في الولايات المتحدة ومعايير امتثال محددة. ووفقاً لأوبراينلي، لا يزال المستثمرون المؤسسيون ينظرون إلى التوكينزشن باعتباره شديد المخاطر في غياب وضوح تنظيمي، ما يحد من اتساع السوق
GateNewsمنذ 9 س
اختراق البيتكوين مستوى $82K إلى أعلى مستوياته منذ يناير، بدفع تدفقات داخلية بقيمة 2.44 مليار دولار من صناديق الاستثمار المتداولة
في وقت كتابة هذا التقرير، اخترق سعر البيتكوين حاجز 82,000 دولار ليصل إلى أعلى مستوى له منذ أواخر يناير، مدفوعًا بتدفقات للـصناديق المتداولة الفورية بلغت 2.44 مليار دولار خلال أبريل، وبما يفوق 300 مليون دولار في عمليات تصفية قصيرة خلال 24 ساعة. وقد تم تداول BTC قرب 82,300 دولار، مرتفعًا بنحو 14% عن أدنى مستويات أوائل أبريل. أنباء IBIT التابعة لـBlackRock a
GateNewsمنذ 18 س
