跳到内容

TODAY · 今日 AI

PyTorch Lightning 被植入 Shai-Hulud 恶意套件

Semgrep 4 月 30 日发现 lightning 2.6.2 / 2.6.3 两个版本被植入 Shai-Hulud 风格恶意程序码,藏在隐藏目录 _runtime 里。套件加载时自动偷 GitHub token、云端凭证、CI/CD 密钥,还会在 Claude Code 跟 VS Code 设定档注入后门。最近装过这版 lightning 的 AI 训练专案都该检查依赖树 + 旋转密钥。

发布日期: 2026-05-01
登入以收藏

来源

标签

securitysupply-chainpytorchml-infra

We use cookies

Anonymous analytics help us improve the site. You can opt out anytime. Learn more

PyTorch Lightning 被植入 Shai-Hulud 恶意套件 · BuilderWorld