FreeStyle
512 posts
一块苹果手表 s11 国补后也就 2000 块钱。
但是他能通过光学心率传感器,分析连续 30 天以上血管对心跳的反应数据,旨在发现潜在的高血压迹象。
同时还有心电图、心率检测、血氧饱和度等功能,这些都是预防神器,给及时去医院,增加了更多黄金时间。
要学会善用科技。
Meguro-ku, Tokyo 🇯🇵 中文
今天刚发生的重大安全事件,Karpathy 亲自发帖警告。
litellm 被投毒:一次教科书级的供应链攻击
今天(3月24日),AI 开发者常用的 Python 库 litellm 在 PyPI 上被植入恶意代码。版本 1.82.8 在 UTC 时间 10:52 发布到 PyPI,包含一个名为 litellm_init.pth 的恶意文件,会在每次 Python 进程启动时自动执行。不需要你主动调用这个库,装上就中招。
litellm 是干什么的?它是一个统一调用各家大模型 API 的 Python 库,GitHub 超过 4 万星,每月下载量超过 9500 万次。很多 AI 工具链都依赖它,包括 DSPy、MLflow、Open Interpreter 等,总共有 2000 多个包把它当作依赖项。
也就是说,你可能从来没有手动安装过 litellm,但你用的某个工具替你装了。
恶意代码会系统性地收集主机上的敏感数据:SSH 密钥、AWS/GCP/Azure 云凭证、Kubernetes 密钥、环境变量文件、数据库配置,甚至加密货币钱包。收集完毕后加密打包,发送到攻击者控制的域名。
如果检测到 Kubernetes 环境,恶意代码还会利用服务账户令牌在集群的每个节点上部署特权 Pod,进行横向扩散。
怎么发现的?攻击者自己写了个 bug
发现过程颇具讽刺意味。FutureSearch 的 Callum McMahon 在 Cursor 编辑器里用了一个 MCP 插件,这个插件间接依赖了 litellm。恶意 .pth 文件在每次 Python 启动时都会触发,子进程又触发同一个 .pth,形成指数级的 fork bomb,直接把机器内存撑爆了。
Karpathy 在推文里说得很清楚:如果攻击者没有在写恶意代码时犯这个 bug,这个投毒可能好几天甚至好几周都不会被发现。
攻击链:安全工具反成突破口
根源在于 litellm 的 CI/CD 流程中使用了 Trivy(一个漏洞扫描工具),而 Trivy 本身在 3 月 19 日就已经被同一个攻击组织 TeamPCP 攻陷了。攻击者通过被污染的 Trivy 窃取了 litellm 的 PyPI 发布令牌,然后直接往 PyPI 上推送了带毒版本。
litellm 1.82.7 在 UTC 10:39 发布,1.82.8 在 10:52 发布,两个版本都包含恶意代码。
时间线更完整地看:3月19日 TeamPCP 攻陷 Trivy,3月23日攻陷 Checkmarx KICS,3月24日轮到 litellm。Wiz 安全研究员 Gal Nagli 的评价是:开源供应链正在形成连锁崩塌,Trivy 被攻破导致 litellm 被攻破,数万个环境的凭证落入攻击者手中,而这些凭证又会成为下一次攻击的弹药。
攻击者还试图“灭口”
社区成员在 GitHub 上提交 issue 报告此事后,攻击者在 102 秒内用 73 个被盗账号发了 88 条垃圾评论试图淹没讨论,然后利用被盗的维护者账号把 issue 关闭。社区不得不另开 issue 并转移到 Hacker News 继续讨论。
Karpathy 借此事重提了他对软件依赖的警惕态度:供应链攻击是现代软件中最可怕的威胁,每次安装一个依赖,都可能在依赖树的深处引入一个被投毒的包。他现在越来越倾向于用大模型直接生成简单功能的代码,而不是引入外部依赖。
如果你的环境中有 litellm,立刻运行 pip show litellm 检查版本。1.82.6 是最后一个干净版本。如果不幸装了 1.82.7 或 1.82.8,假设所有凭证已泄露,立即轮换。
Andrej Karpathy@karpathy
Software horror: litellm PyPI supply chain attack. Simple `pip install litellm` was enough to exfiltrate SSH keys, AWS/GCP/Azure creds, Kubernetes configs, git credentials, env vars (all your API keys), shell history, crypto wallets, SSL private keys, CI/CD secrets, database passwords. LiteLLM itself has 97 million downloads per month which is already terrible, but much worse, the contagion spreads to any project that depends on litellm. For example, if you did `pip install dspy` (which depended on litellm>=1.64.0), you'd also be pwnd. Same for any other large project that depended on litellm. Afaict the poisoned version was up for only less than ~1 hour. The attack had a bug which led to its discovery - Callum McMahon was using an MCP plugin inside Cursor that pulled in litellm as a transitive dependency. When litellm 1.82.8 installed, their machine ran out of RAM and crashed. So if the attacker didn't vibe code this attack it could have been undetected for many days or weeks. Supply chain attacks like this are basically the scariest thing imaginable in modern software. Every time you install any depedency you could be pulling in a poisoned package anywhere deep inside its entire depedency tree. This is especially risky with large projects that might have lots and lots of dependencies. The credentials that do get stolen in each attack can then be used to take over more accounts and compromise more packages. Classical software engineering would have you believe that dependencies are good (we're building pyramids from bricks), but imo this has to be re-evaluated, and it's why I've been so growingly averse to them, preferring to use LLMs to "yoink" functionality when it's simple enough and possible.
中文
昨天还不支持wechat 今天试了一下 我的weixin和wechat都可以了
WeChat@Weixin_WeChat
Today, we are officially opening the capability to integrate #OpenClaw into #Weixin. With the launch of the #WeixinClawBot, users can use Weixin as a dedicated messaging channel for OpenClaw. Now, you can send and receive messages with OpenClaw just like texting a friend. #AIAutomation #AI
中文
两年来我都不知道…
原来我的小水管 VPS每天都在被扫猫进行 SSH 暴力破解攻击 😅
直到用 OpenMinis帮我检查服务器安全性才发现:
日志里几乎全是 SSH 登录失败记录。
现在可以直接用手机里的 AI Agent:
•查看服务器日志和状态
•帮忙检查服务器安全
•更多玩法可以探索
Ethan Wang@wsvn53
向大家介绍一下即将开源的新玩具 👇 Minis 一款纯手机本地运行的 AI Agent 应用📱 无需注册额外云端账号,无需添置任何新设备,连接你的 AI 订阅直接用你手上的就能完成Manus、OpenClaw的大部分任务。 ✅ 本地虚拟技术 iSH(arm64) ✅ 本地 Browser use ✅ 与 iOS 集成: 分享、健康等 TF 链接见👇
中文
Minis 通过 ish 沙盒卸载技术(Native Offloads) 将 ffmpeg 工具变为具有硬件加速的强大视频处理工具,这个视频我只说了将句话:
1️⃣ 根据收集的信息搜索一些配图,结合刚才生成的音频生成一张视频
2️⃣ 我截图了几张生成早安播报的操作截图,帮我插入到前方用动画的方式呈现
全程还是在开车过程中,用豆包语音输入的,✌我手残党也会剪视频啦,虽然还有优化空间
Ethan Wang@wsvn53
早上好,Minis 有了快捷指令以后,叫醒我早上起床的已经不是闹钟了,而是自动抓取过去12小时的 X Timeline 汇总并播报每日早报音频。 ✅ 全程自动化:设置快捷指令自动化 ➡️ twitter-cli 获取自己的 Timeline ➡️ minis-model-use 调用 TTS ➡️ 自动播报
中文
看到几个博主发腾讯的qclaw,现在看到已经被暂停下载了,我来说说可能的原因。
你们观察一下首页,这里面最有意思的一点是,有个小字标识这个产品是腾讯手机管家的出品。这个是我待了6年的部门,里面还是有些门门道道的。
当年,腾讯为什么要做手机安全?因为十多年前发生了著名的3Q大战,他们要防御360,防止360在移动互联网颠覆腾讯。所以腾讯手机管家来源于,腾讯收购广州的一个安全创始公司,并合并到MIG而来的。
但是,腾讯手机管家不想只做防御,创始团队还是有雄心的,在微信还没出来时就开发了一款Q信,主攻移动互联网的即时通信。是不是很像现在的qclaw?但后来被微信打败了。Q信这个产品也关停了。
后续发生了很多事,进行了非常多的内部创新,都失败了。另外主营业务开始崩塌,主要是手机都内置了安全应用,腾讯手机管家滑落成一个非常边缘的部门。很多核心员工被离职了,留在里面的人为了证明自己的价值依然在不停“内部创新”,不然就有可能继续被离职。
腾讯手机管家招的人很多都是中大华工的计算机本硕,能力是绝对没问题的。问题是,这只是一个小部门孵化的产品,官网还只挂在手管而不是腾讯的网页下。
这个qclaw就是一个“内部创新”的产品,接入的还是Kimi2.5,而不是接入元宝。他们的资源是很少的,唯一的优势就是跟微信一起在广州办公吧,可能对接微信会方便一点。
马化腾重视起来的话,不会交给一个边缘部门操作,最终应该会是集团战略级产品。qclaw很可能会沦为下一个Q信,作为先卡住其他竞争对手陪跑的产品。之后让路给真的如weclaw之类的核心产品。我估计现在腾讯有不少于三个团队自己在孵化claw了,只是手管先发了出来。
希望腾讯手机管家部门这次能把AI agent做起来吧,在内部赛马中击败其他claw。大家有的是能力,缺的只是一飞冲天的机会。
中文
AutoClaw
autoglm.zhipuai.cn/autoclaw
CoPaw
copaw.agentscope.io
LobsterAI
lobsterai.youdao.com
QClaw
claw.guanjia.qq.com
WorkBuddy
codebuddy.cn/work
JVS claw
https://jvs.claw
KimiClaw
kimi.moonshot.cn/claw
MaxClaw
agent.minimaxi.com/max-claw
English
FreeStyle がリツイート
