黑客正在通过一个被追踪为 CVE-2026-42208 的严重漏洞，攻击存储在开源大语言模型网关 LiteLLM 中的敏感信息。 该漏洞是一个 SQL 注入问题，发生在 LiteLLM 的代理 API 密钥验证步骤中。攻击者无需身份认证即可利用它——只需向任意 LLM API 路由发送一个精心构造的 Authorization 请求头即可。 这使得攻击者能够读取并修改代理数据库中的数据。根据维护者发布的安全公告，威胁行为者可利用该漏洞“未经授权访问代理及其管理的凭据”。...

HackerNews 编译，转载请注明出处： AI招聘公司Mercor披露受到近期LiteLLM供应链攻击影响，此前勒索团伙声称窃取了4TB数据。 LiteLLM事件发生于3月27日，是一周前Trivy供应链攻击的连锁反应。LiteLLM在事件描述中指出："我们认为入侵源于CI/CD安全扫描工作流中使用的Trivy依赖。"...

TeamPCP黑客组织持续发动供应链攻击，现已入侵广受欢迎的Python库"LiteLLM"，并声称在攻击期间从数十万台设备窃取数据。
LiteLLM是一款开源Python库，作为统一API网关对接多个大语言模型（LLM）提供商。该包极为热门，日均下载量超340万次，过去一个月下载量超9500万次。...