跳到內容

TODAY · 今日 AI

PyTorch Lightning 被植入 Shai-Hulud 惡意套件

Semgrep 4 月 30 日發現 lightning 2.6.2 / 2.6.3 兩個版本被植入 Shai-Hulud 風格惡意程式碼,藏在隱藏目錄 _runtime 裡。套件載入時自動偷 GitHub token、雲端憑證、CI/CD 密鑰,還會在 Claude Code 跟 VS Code 設定檔注入後門。最近裝過這版 lightning 的 AI 訓練專案都該檢查依賴樹 + 旋轉密鑰。

發佈日期: 2026-05-01
登入以收藏

來源

標籤

securitysupply-chainpytorchml-infra

We use cookies

Anonymous analytics help us improve the site. You can opt out anytime. Learn more

PyTorch Lightning 被植入 Shai-Hulud 惡意套件 · BuilderWorld