-
Xinference 供应链投毒风险通告:2.6.0-2.6.2 版本被植入恶意代码,可窃取云凭证与密钥
2026年4月23日,腾讯云安全中心监测到 AI 模型部署工具 Xinference 的 PyPI 包(版本 2.6.0、2.6.1、2.6.2)存在供应链投毒风险。攻击者通过入侵合法贡献者账户,在初始化文件中植入了多层混淆的恶意载荷,可窃取云服务凭证、API 密钥、SSH 密钥、加密货币钱包及数据库连接串等敏感信息,并回传至远程 C2 服务器。使用受影响版本的用户系统应视为已被入侵。 一、 风险…- 16
- 0
