1. 事件回顾与核心问题剖析那天早上我像往常一样打开Slack一条紧急的群聊消息让我的心沉到了谷底。时间是2026年3月24日我们团队重度依赖的一个Python代理工具——LiteLLM被证实植入了窃取凭证的后门恶意软件。受影响的是1.82.7和1.82.8版本由名为TeamPCP的威胁攻击者发布。这个工具的核心功能是统一管理和路由对不同大语言模型提供商的API调用换句话说它手里握着通往我们所有AI服务的钥匙——OpenAI、Anthropic、Google Gemini等各家厂商的API密钥。攻击者选择这个目标其精准和恶意程度令人不寒而栗攻破一个点就能拿到整个组织的AI资产访问权。这并非孤立事件。回顾那几天简直是一场针对开发者工具链的精准打击。3月19日Aqua Security的Trivy漏洞扫描器的GitHub Action被攻破3月23日Checkmarx的KICS GitHub Action中招紧接着3月24日就轮到了LiteLLM。攻击链条显示攻击者首先通过未固定版本的Trivy Action入侵了LiteLLM项目的CI/CD流水线窃取了PyPI发布令牌然后直接用这个令牌向PyPI推送了恶意版本。更糟糕的是根据后续分析这个恶意包通过传递依赖潜入了超过三分之一的云环境很多团队甚至从未直接安装过它它只是某个AI代理框架的依赖的依赖。这次事件让我彻底重新审视了“依赖”二字的重量。我们习惯了pip install的便捷却很少深思这行命令背后我们究竟将多少信任托付给了素未谋面的维护者和他们那可能长达数百层的依赖树。当便利性与安全性冲突时我们往往选择了前者直到代价以如此直接的方式呈现。1.1 攻击链的深度拆解为什么.pth文件如此致命官方的事后分析报告揭示了攻击的狡猾之处。1.82.7版本的恶意代码藏在proxy/proxy_server.py中在模块被导入时触发。这已经很糟糕了但1.82.8版本的手段更为隐蔽和恶劣它包含了一个名为litellm_init.pth的文件。.pth文件是Python的一个合法功能用于在site-packages目录中添加额外的模块搜索路径。关键在于Python解释器在启动时会自动执行site-packages目录下所有.pth文件中的可执行代码。这意味着只要这个包被安装在你的Python环境里无论是直接安装还是作为传递依赖被拉取那么每一次启动Python进程——无论是运行Flask服务器、启动Jupyter Notebook、执行Ansible脚本还是跑一个简单的数据脚本——恶意代码都会悄无声息地运行。你根本不需要显式地import litellm。攻击载荷采用了双重Base64编码来规避简单的字符串扫描核心逻辑是启动一个子进程来执行解码后的恶意代码。这个三阶段载荷设计得相当全面第一阶段凭证收割像梳子一样扫描系统目标包括SSH密钥、三大云服务商AWS、GCP、Azure的令牌、环境变量、.env文件、Kubernetes配置、Docker配置、数据库连接字符串、Shell历史记录、浏览器Cookie甚至加密货币钱包文件。它试图拿走一切能证明身份和权限的东西。第二阶段横向移动如果环境是Kubernetes它会尝试在kube-system命名空间部署具有特权的Alpine Linux Pod从而窃取集群级别的Secret和服务账户令牌获得对整个集群的控制权。第三阶段持久化在系统上安装一个名为sysmon.py的systemd服务作为后门持续从攻击者控制的域名checkmarx[.]zone拉取新的指令确保即使在恶意包被删除后攻击者仍能维持访问。所有窃取的数据都会被加密然后发送到伪装成LiteLLM官方域名的models.litellm[.]cloud。整个攻击链自动化程度高危害极大。注意.pth文件的攻击向量之所以危险是因为它绕过了大多数软件供应链安全工具的常规检测模式。这些工具通常聚焦于分析setup.py、__init__.py或预定义的入口点而.pth作为一种合法的路径配置机制被忽视了。可以预见未来会有更多攻击者利用类似的“合法功能滥用”手段。1.2 影响范围的现实评估你未必安全即使你没装最初我以为只要我们没有在关键服务中显式使用LiteLLM就没事。但我错了。传递依赖Transitive Dependency是这次事件中扩大影响范围的“隐形推手”。我检查了自己的开发环境使用pip show litellm命令。输出结果中的“Required-by”字段让我惊出一身冷汗一个我几个月前安装的AI应用框架其依赖树中包含了LiteLLM。我从未主动安装过LiteLLM但它已经静静地躺在我的site-packages里了。这意味着过去几个月里我本地运行的每一个Python进程都可能已经执行了那段恶意代码。更极端的案例来自社区的反馈有开发者发现自己的Cursor IDE一个基于AI的代码编辑器因为集成了某个模型上下文协议MCP插件而该插件依赖LiteLLM导致IDE在后台也被感染。这完全颠覆了“主动安装才存在风险”的认知。在现代软件生态中依赖关系网错综复杂一个底层包的妥协可以像病毒一样悄无声息地扩散到无数上层应用中。这也暴露了当前依赖管理的一个困境我们缺乏对完整依赖树的可见性和控制力。pip list只能看到顶层包而像pipdeptree这样的工具又很少被纳入日常安全检查流程。对于容器镜像如果基础镜像或构建阶段引入了恶意包那么基于此镜像运行的所有容器都会继承这个风险。2. 应急响应与深度排查实操指南当意识到可能被入侵后恐慌解决不了问题必须有一套清晰、可执行的应急响应流程。以下是我当时采取以及事后总结的标准化步骤你可以直接参照执行。2.1 第一步快速确认影响范围在采取任何破坏性操作前先确定影响面。你需要检查所有可能的环境本地开发机、CI/CD运行器、测试/预发布环境、生产环境的Docker镜像和Kubernetes集群。检查本地及服务器环境# 1. 检查已安装的LiteLLM版本 pip show litellm | grep Version # 如果输出 1.82.7 或 1.82.8立即警惕。 # 2. 检查pip缓存中是否有恶意版本即使已卸载缓存可能还在 pip cache list | grep litellm # 3. 全网扫描恶意的.pth文件这是1.82.8版本的标志 find / -name litellm_init.pth 2/dev/null # 4. 检查传递依赖这是关键 pip show litellm # 重点关注输出中的 “Required-by:” 字段。如果非空说明是其他包拉进来的。 # 更全面的依赖树检查 pipdeptree | grep -i litellm检查容器与Kubernetes环境# 1. 查找所有运行中包含litellm的容器 docker ps --format table {{.ID}}\t{{.Image}}\t{{.Command}} | grep -i litellm # 2. 在K8s集群中查找相关Pod kubectl get pods --all-namespaces -o jsonpath{range .items[*]}{.metadata.namespace}{\t}{.metadata.name}{\t}{.spec.containers[*].image}{\n}{end} | grep -i litellm # 3. 检查集群中是否有可疑的、非自己部署的Pod特别是高权限命名空间 kubectl get pods -n kube-system | grep -i alpine\|node-setup\|proxy网络流量回溯分析数据外泄是已经发生的事实。你需要检查网络出口日志确认是否有数据发送到了攻击者的域名。# 如果你有云服务商的日志如AWS CloudWatch Logs # 使用类似查询过滤 models.litellm[.]cloud 或 checkmarx[.]zone 的流量 # 示例CloudWatch Insights fields timestamp, message | filter message like /models\\.litellm\\.cloud|checkmarx\\.zone/ | sort timestamp desc | limit 100 # 如果在自有服务器检查Nginx/Apache访问日志 grep -E models\.litellm\.cloud|checkmarx\.zone /var/log/nginx/access.log # 检查系统级DNS查询记录如果配置了日志 journalctl -u systemd-resolved | grep -E litellm\.cloud|checkmarx\.zone发现任何相关流量都意味着凭证已经泄露必须进入全面的凭证轮换流程。2.2 第二步隔离、遏制与凭证轮换确认影响后行动要快范围要广。立即隔离受影响系统# 停止所有相关的Docker容器 docker ps | grep -i litellm | awk {print $1} | xargs -r docker stop # 在Kubernetes中将相关Deployment副本数缩容到0 kubectl scale deployment -n namespace --replicas0 --selectorapp in (litellm, litellm-proxy) # 或者直接删除相关部署如果你确定要重建 kubectl delete deployment -n namespace litellm-proxy全面轮换所有可能泄露的凭证这是最繁琐但最关键的一步。恶意软件收集的信息非常全面你必须假设以下所有凭证都已泄露云服务凭证立即在AWS IAM、GCP IAM、Azure AD中吊销现有的访问密钥、服务账户密钥创建并启用新的密钥。检查是否有临时凭证如EC2 Instance Profile、Workload Identity被滥用。SSH密钥更换所有在受影响机器上~/.ssh/目录中的公私钥对包括id_rsa,id_ed25519等。同时更新所有远程服务器Git仓库、跳板机等上授权的公钥。API密钥与令牌所有LLM提供商OpenAI, Anthropic, Google AI Studio (Gemini), Cohere, Together AI等。立即在各自控制台重置API Key。其他SaaS服务GitHub Personal Access Tokens, Docker Hub tokens, Slack/OAuth tokens等。数据库与应用程序凭证检查项目中所有.env,config.yaml,secrets.json等文件更新数据库密码、Redis密码、第三方服务密钥等。Kubernetes Secrets如果恶意Pod在集群内运行过必须轮换所有敏感的Secret特别是default命名空间下的defaultServiceAccount token以及任何自定义的Secret。加密货币钱包如果受影响机器上有钱包文件如*.keystore,wallet.dat立即将资产转移到全新的、安全的钱包地址。这是最高优先级操作之一。实操心得建立一个“凭证清单”文档非常重要。在平时就记录下所有系统、服务使用的关键凭证类型和位置在应急响应时能帮你快速定位避免遗漏。轮换后务必更新所有CI/CD流水线、环境变量配置和配置文件。2.3 第三步根除恶意组件与排查持久化后门仅仅卸载包是不够的必须彻底清除残留。彻底清除Python环境中的恶意包# 1. 卸载litellm并彻底清理pip缓存 pip uninstall -y litellm pip cache purge # 清除pip缓存防止后续安装误用 # 2. 手动删除可能残留的.pth文件 # 找到你的site-packages目录 SITE_PACKAGES$(python -c import site; print(site.getsitepackages()[0])) find $SITE_PACKAGES -name litellm_init.pth -delete # 3. 检查并清理可能被感染的虚拟环境 # 如果你使用venv/conda最好直接删除整个虚拟环境目录并重建。 rm -rf /path/to/your/venv排查系统级后门攻击者部署了systemd服务和Kubernetes Pod来实现持久化。# 1. 检查系统服务 systemctl list-units --typeservice --all | grep -i sysmon find /etc/systemd/system /usr/lib/systemd/system -name *sysmon* -o -name *litellm* 2/dev/null # 2. 检查用户级systemd服务 find ~/.config/systemd/user -name *.service 2/dev/null | xargs ls -la # 3. 检查可疑的配置文件目录 ls -la ~/.config/ | grep -i sysmon rm -rf ~/.config/sysmon/ # 如果存在直接删除 # 4. 在Kubernetes中搜索攻击者部署的Pod kubectl get pods --all-namespaces -o wide | grep -E alpine|node-setup|proxy # 特别注意kube-system命名空间中的陌生Pod kubectl describe pod -n kube-system suspicious-pod-name # 确认后立即删除 kubectl delete pod -n kube-system suspicious-pod-name --force --grace-period0重建容器镜像所有包含受感染版本LiteLLM的Docker镜像都必须视为不可信。# 在Dockerfile中确保基础镜像和构建步骤是干净的并使用 --no-cache 重建 docker build --no-cache -t your-app:clean . # 推送新镜像并更新所有K8s Deployment的镜像标签切勿尝试降级到之前的“安全”版本。一旦信任被破坏整个包的发布链都值得怀疑。最安全的做法是完全移除并用其他可信方案替代。3. 架构反思与替代方案选型清理完现场后我不得不停下来思考一个更根本的问题我们为什么要把一个管理着最敏感API密钥的组件以包含数百个依赖的Python包的形式进行自托管这次事件暴露了自托管AI代理网关的固有风险。3.1 自托管模式的结构性风险LiteLLM本身是一个优秀的工具但它遵循了典型的Python开源项目模式功能强大依赖众多。当你pip install litellm时你引入的不仅仅是一个包而是一整棵依赖树。这棵树上任何一个环节即使是间接依赖的维护者账户被攻破都可能让你的系统门户大开。风险点集中分析信任边界无限扩大你信任LiteLLM的维护者但你是否也信任urllib3,requests,numpy,pandas以及它们所有依赖的维护者每一次pip install都是一次盲目的信任投票。响应延迟的致命性在此次事件中从Trivy Action被攻破3月19日到LiteLLM维护者轮换其CI/CD凭证中间有五天时间。对于下游用户来说这五天窗口期是完全暴露的。即使维护者反应迅速从漏洞披露到所有用户更新版本也存在一个不可避免的时间差这个时间差就是攻击者的机会窗口。安全工具覆盖不全如前所述.pth攻击向量超出了许多静态分析工具的常规检测模式。依赖软件物料清单SBOM和漏洞扫描如Trivy、Grype是必要的但并非充分条件。运维负担自托管意味着你需要自己维护这个代理服务的可用性、性能、升级和打补丁。当底层依赖出现安全漏洞时比如Log4j事件你需要第一时间跟进并重建镜像。3.2 从自托管到托管网关攻击面的根本性收缩经过评估我将替代方案分为两类其他自托管替代品如LocalAI、OpenAI-Proxy等和托管网关服务。前者虽然换了包但依赖树风险和运维负担依然存在。后者则将风险模型从“维护一个复杂的软件栈”转变为“管理一个API密钥和端点”。我最终选择了转向托管网关模式例如Prism由Future AGI提供这类服务。其核心价值在于攻击面极小化你的应用不再需要安装LiteLLM及其所有依赖。你只需要一个HTTP客户端和一个API密钥。恶意代码无法通过Python包依赖链注入到你的运行环境中。责任转移网关服务提供商负责其基础设施的安全、合规、高可用和升级。他们通常拥有专业的安全团队和更严格的供应链控制例如使用更安全的语言如Go编写核心网关减少动态语言的依赖风险。即时缓解如果网关服务自身发现威胁可以在后端全局快速修复和更新所有用户瞬间得到保护无需各自升级客户端库。迁移成本低得惊人。对于绝大多数使用OpenAI SDK格式的应用迁移只需修改两行配置Python迁移示例# 之前使用LiteLLM from litellm import completion response completion( modelgpt-4, messages[{role: user, content: Hello}], api_keyyour-openai-key # 密钥分散在代码或环境变量中 ) # 之后使用托管网关如Prism from openai import OpenAI # 只需更改base_url和api_keySDK调用方式完全不变 client OpenAI( base_urlhttps://gateway.futureagi.com, # 网关地址 api_keysk-prism-your-gateway-key # 网关提供的统一密钥 ) response client.chat.completions.create( modelgpt-4, # 模型名映射由网关处理 messages[{role: user, content: Hello}] )TypeScript/Node.js迁移示例import OpenAI from openai; // 之前可能需要配置复杂的LiteLLM代理URL // 之后只需替换baseURL和apiKey const client new OpenAI({ baseURL: https://gateway.futureagi.com, apiKey: sk-prism-your-gateway-key, }); const response await client.chat.completions.create({ model: gpt-4o, messages: [{ role: user, content: Hello }], });Kubernetes部署更新对于在K8s中运行的应用更新通常只是环境变量的调整env: # 之前 - name: OPENAI_API_BASE value: http://litellm-proxy-service:4000 - name: OPENAI_API_KEY valueFrom: secretKeyRef: name: openai-secret key: api-key # 之后 - name: OPENAI_API_BASE value: https://gateway.futureagi.com # 指向托管网关 - name: OPENAI_API_KEY value: sk-prism-your-gateway-key # 使用网关密钥无需管理多个提供商密钥迁移完成后你就可以安全地删除自托管的LiteLLM Deployment、Service以及可能为其提供支持的数据库如Postgres、Redis显著简化了基础设施栈。3.3 托管网关的附加价值不只是路由除了核心的安全优势现代托管网关还提供了一些开箱即用的高级功能这些功能如果自建需要投入大量开发运维精力。语义缓存Semantic Caching 这是让我印象最深的功能之一。传统的精确匹配缓存对于LLM提示词效果有限因为用户的问题表述千变万化。语义缓存能理解问题的意图。例如“你们的退货政策是什么”和“我怎么退货”会被识别为语义相似从而命中同一个缓存条目直接返回缓存的答案并通常在响应头中标记X-Cache-Cost: 0这能极大降低成本和提升响应速度。配置示例from prism import Prism, GatewayConfig, CacheConfig client Prism( api_keysk-prism-your-key, base_urlhttps://gateway.futureagi.com, configGatewayConfig( cacheCacheConfig( enabledTrue, modesemantic, # 启用语义缓存 ttl5m, # 缓存存活时间 namespaceprod # 缓存命名空间隔离 ), ), )统一的护栏Guardrails与审计 在请求到达昂贵的LLM API之前网关层可以实施一系列安全检查例如PII个人身份信息检测与脱敏自动扫描并屏蔽用户输入中的邮箱、电话、身份证号等。提示词注入防护识别并阻断试图让模型越狱或执行不当指令的输入。毒性内容过滤过滤仇恨、暴力等不良内容。集中式日志与审计所有请求和响应都有完整的日志方便合规审查和用量分析。 这些功能相当于在应用和LLM之间增加了一个安全层而自建实现这些功能需要集成多个库并自行维护规则。统一的供应商管理和负载均衡 可以在网关界面轻松配置多个LLM供应商的API密钥和优先级设置故障转移规则。应用代码无需关心当前请求是由OpenAI还是Anthropic处理的网关会自动选择最优或可用的供应商。4. 面向未来的LLM应用安全实践LiteLLM事件不是一个终点而是一个警钟。随着欧盟《网络弹性法案》CRA等法规的出台组织需要对产品中使用的开源组件的安全承担法律责任。SOC 2 Type II等审计也会严格审查依赖管理流程。“我们总是从PyPI拉取最新版本”这样的说辞再也无法通过安全合规审查。4.1 强化软件供应链安全的具体措施即使你决定继续自托管部分组件也必须立即加强你的防线依赖固定与哈希验证固定版本Pinning在requirements.txt或pyproject.toml中固定每个依赖的确切版本号package1.2.3。但这只能防止意外升级到新恶意版本无法防止已固定的版本被维护者恶意覆盖正如本次事件。哈希校验Hashing这是更强大的控制。使用pip的--require-hashes选项或在requirements.txt中为每个包指定SHA256哈希值。这样即使PyPI上的包被篡改只要哈希值不匹配安装就会失败。虽然工具链支持不友好但对于关键基础设施这是必要的。# requirements.txt 示例 litellm1.82.6 \ --hashsha256:abc123... \ --hashsha256:def456...引入软件物料清单SBOM与持续扫描使用cyclonedx-py,syft等工具为你的应用和容器镜像生成SBOM清晰掌握所有直接和传递依赖。将Trivy、Grype等漏洞扫描工具集成到CI/CD流水线中对每次构建进行扫描并设置安全门禁阻止包含高危漏洞的镜像被部署。特别注意扫描工具本身也可能被攻破如本次事件中的Trivy Action。因此必须固定扫描工具Action的版本使用完整SHA256标签并定期审查其安全性。最小权限原则与凭证隔离CI/CD令牌为不同的项目或用途创建独立的、权限最小的PyPI、Docker Hub、GitHub发布令牌。定期轮换这些令牌。运行时凭证使用云厂商的机密管理服务如AWS Secrets Manager, GCP Secret Manager, Azure Key Vault动态注入凭证而非存储在环境变量或代码文件中。网络策略在Kubernetes中使用NetworkPolicy严格限制Pod的网络出口只允许访问必要的服务域名和端口阻止向未知域名如攻击者的C2服务器发送数据。考虑使用更安全的语言与分发格式 对于代理、网关这类基础设施组件可以考虑使用Go、Rust等编译型语言编写的替代品。它们通常以静态二进制文件分发依赖关系简单供应链攻击面远小于Python。或者使用Docker镜像作为分发和运行的标准格式通过对镜像进行签名和验证来保证完整性。4.2 架构决策框架自托管 vs. 托管服务面对LLM应用架构你现在有了一个更清晰的决策矩阵考量维度自托管代理/网关 (如 LiteLLM)托管网关服务 (如 Prism)安全责任你承担全部。包括依赖安全、运行时安全、漏洞修复、配置安全。与供应商共担。你负责API密钥和客户端安全供应商负责网关基础设施、依赖和运行时的安全。攻击面极大。包含整个Python依赖树数百个包及其供应链风险。极小。缩减为一个API端点和一个密钥。无运行时依赖风险。运维负担高。需要部署、监控、扩缩容、升级、打补丁、备份。低。无需管理基础设施供应商提供SLA。功能特性灵活。可以深度定制集成任何Python库。开箱即用。提供缓存、护栏、审计、负载均衡等企业级功能但定制性可能受限。成本显性成本低开源但隐性成本高工程师运维时间、安全风险成本。有订阅费用但包含了安全、合规和运维的成本。合规性需要自行构建所有审计日志、访问控制以满足SOC2、ISO27001等要求。通常由供应商提供合规套件审计日志、数据处理协议等简化合规流程。锁定风险低。代码在自己手中。中。API接口通常兼容OpenAI SDK迁移回自托管或换供应商相对容易但高级功能可能依赖特定实现。我的建议是对于早期原型、实验性项目或对成本极度敏感的场景自托管开源方案是可行的起点但必须配套实施严格的供应链安全措施。对于任何处理生产数据、用户数据或涉及商业逻辑的LLM应用尤其是团队安全运维资源有限的情况下采用托管网关服务是风险更低、长期总成本更可控的选择。这次事件让我付出了两天时间进行紧急响应和全盘审计根本原因是一个我甚至不知道存在于我依赖树中的包。这个教训的代价是昂贵的但它彻底改变了我对现代软件依赖和AI基础设施安全的理解。与其在安全事故后疲于奔命地“救火”不如在架构设计之初就选择一条更安全、更专注的道路——把有限的工程时间投入到创造产品价值上而不是维护复杂且脆弱的基础设施链条。
从LiteLLM供应链攻击看Python依赖安全与AI代理架构演进
发布时间:2026/5/27 9:11:46
1. 事件回顾与核心问题剖析那天早上我像往常一样打开Slack一条紧急的群聊消息让我的心沉到了谷底。时间是2026年3月24日我们团队重度依赖的一个Python代理工具——LiteLLM被证实植入了窃取凭证的后门恶意软件。受影响的是1.82.7和1.82.8版本由名为TeamPCP的威胁攻击者发布。这个工具的核心功能是统一管理和路由对不同大语言模型提供商的API调用换句话说它手里握着通往我们所有AI服务的钥匙——OpenAI、Anthropic、Google Gemini等各家厂商的API密钥。攻击者选择这个目标其精准和恶意程度令人不寒而栗攻破一个点就能拿到整个组织的AI资产访问权。这并非孤立事件。回顾那几天简直是一场针对开发者工具链的精准打击。3月19日Aqua Security的Trivy漏洞扫描器的GitHub Action被攻破3月23日Checkmarx的KICS GitHub Action中招紧接着3月24日就轮到了LiteLLM。攻击链条显示攻击者首先通过未固定版本的Trivy Action入侵了LiteLLM项目的CI/CD流水线窃取了PyPI发布令牌然后直接用这个令牌向PyPI推送了恶意版本。更糟糕的是根据后续分析这个恶意包通过传递依赖潜入了超过三分之一的云环境很多团队甚至从未直接安装过它它只是某个AI代理框架的依赖的依赖。这次事件让我彻底重新审视了“依赖”二字的重量。我们习惯了pip install的便捷却很少深思这行命令背后我们究竟将多少信任托付给了素未谋面的维护者和他们那可能长达数百层的依赖树。当便利性与安全性冲突时我们往往选择了前者直到代价以如此直接的方式呈现。1.1 攻击链的深度拆解为什么.pth文件如此致命官方的事后分析报告揭示了攻击的狡猾之处。1.82.7版本的恶意代码藏在proxy/proxy_server.py中在模块被导入时触发。这已经很糟糕了但1.82.8版本的手段更为隐蔽和恶劣它包含了一个名为litellm_init.pth的文件。.pth文件是Python的一个合法功能用于在site-packages目录中添加额外的模块搜索路径。关键在于Python解释器在启动时会自动执行site-packages目录下所有.pth文件中的可执行代码。这意味着只要这个包被安装在你的Python环境里无论是直接安装还是作为传递依赖被拉取那么每一次启动Python进程——无论是运行Flask服务器、启动Jupyter Notebook、执行Ansible脚本还是跑一个简单的数据脚本——恶意代码都会悄无声息地运行。你根本不需要显式地import litellm。攻击载荷采用了双重Base64编码来规避简单的字符串扫描核心逻辑是启动一个子进程来执行解码后的恶意代码。这个三阶段载荷设计得相当全面第一阶段凭证收割像梳子一样扫描系统目标包括SSH密钥、三大云服务商AWS、GCP、Azure的令牌、环境变量、.env文件、Kubernetes配置、Docker配置、数据库连接字符串、Shell历史记录、浏览器Cookie甚至加密货币钱包文件。它试图拿走一切能证明身份和权限的东西。第二阶段横向移动如果环境是Kubernetes它会尝试在kube-system命名空间部署具有特权的Alpine Linux Pod从而窃取集群级别的Secret和服务账户令牌获得对整个集群的控制权。第三阶段持久化在系统上安装一个名为sysmon.py的systemd服务作为后门持续从攻击者控制的域名checkmarx[.]zone拉取新的指令确保即使在恶意包被删除后攻击者仍能维持访问。所有窃取的数据都会被加密然后发送到伪装成LiteLLM官方域名的models.litellm[.]cloud。整个攻击链自动化程度高危害极大。注意.pth文件的攻击向量之所以危险是因为它绕过了大多数软件供应链安全工具的常规检测模式。这些工具通常聚焦于分析setup.py、__init__.py或预定义的入口点而.pth作为一种合法的路径配置机制被忽视了。可以预见未来会有更多攻击者利用类似的“合法功能滥用”手段。1.2 影响范围的现实评估你未必安全即使你没装最初我以为只要我们没有在关键服务中显式使用LiteLLM就没事。但我错了。传递依赖Transitive Dependency是这次事件中扩大影响范围的“隐形推手”。我检查了自己的开发环境使用pip show litellm命令。输出结果中的“Required-by”字段让我惊出一身冷汗一个我几个月前安装的AI应用框架其依赖树中包含了LiteLLM。我从未主动安装过LiteLLM但它已经静静地躺在我的site-packages里了。这意味着过去几个月里我本地运行的每一个Python进程都可能已经执行了那段恶意代码。更极端的案例来自社区的反馈有开发者发现自己的Cursor IDE一个基于AI的代码编辑器因为集成了某个模型上下文协议MCP插件而该插件依赖LiteLLM导致IDE在后台也被感染。这完全颠覆了“主动安装才存在风险”的认知。在现代软件生态中依赖关系网错综复杂一个底层包的妥协可以像病毒一样悄无声息地扩散到无数上层应用中。这也暴露了当前依赖管理的一个困境我们缺乏对完整依赖树的可见性和控制力。pip list只能看到顶层包而像pipdeptree这样的工具又很少被纳入日常安全检查流程。对于容器镜像如果基础镜像或构建阶段引入了恶意包那么基于此镜像运行的所有容器都会继承这个风险。2. 应急响应与深度排查实操指南当意识到可能被入侵后恐慌解决不了问题必须有一套清晰、可执行的应急响应流程。以下是我当时采取以及事后总结的标准化步骤你可以直接参照执行。2.1 第一步快速确认影响范围在采取任何破坏性操作前先确定影响面。你需要检查所有可能的环境本地开发机、CI/CD运行器、测试/预发布环境、生产环境的Docker镜像和Kubernetes集群。检查本地及服务器环境# 1. 检查已安装的LiteLLM版本 pip show litellm | grep Version # 如果输出 1.82.7 或 1.82.8立即警惕。 # 2. 检查pip缓存中是否有恶意版本即使已卸载缓存可能还在 pip cache list | grep litellm # 3. 全网扫描恶意的.pth文件这是1.82.8版本的标志 find / -name litellm_init.pth 2/dev/null # 4. 检查传递依赖这是关键 pip show litellm # 重点关注输出中的 “Required-by:” 字段。如果非空说明是其他包拉进来的。 # 更全面的依赖树检查 pipdeptree | grep -i litellm检查容器与Kubernetes环境# 1. 查找所有运行中包含litellm的容器 docker ps --format table {{.ID}}\t{{.Image}}\t{{.Command}} | grep -i litellm # 2. 在K8s集群中查找相关Pod kubectl get pods --all-namespaces -o jsonpath{range .items[*]}{.metadata.namespace}{\t}{.metadata.name}{\t}{.spec.containers[*].image}{\n}{end} | grep -i litellm # 3. 检查集群中是否有可疑的、非自己部署的Pod特别是高权限命名空间 kubectl get pods -n kube-system | grep -i alpine\|node-setup\|proxy网络流量回溯分析数据外泄是已经发生的事实。你需要检查网络出口日志确认是否有数据发送到了攻击者的域名。# 如果你有云服务商的日志如AWS CloudWatch Logs # 使用类似查询过滤 models.litellm[.]cloud 或 checkmarx[.]zone 的流量 # 示例CloudWatch Insights fields timestamp, message | filter message like /models\\.litellm\\.cloud|checkmarx\\.zone/ | sort timestamp desc | limit 100 # 如果在自有服务器检查Nginx/Apache访问日志 grep -E models\.litellm\.cloud|checkmarx\.zone /var/log/nginx/access.log # 检查系统级DNS查询记录如果配置了日志 journalctl -u systemd-resolved | grep -E litellm\.cloud|checkmarx\.zone发现任何相关流量都意味着凭证已经泄露必须进入全面的凭证轮换流程。2.2 第二步隔离、遏制与凭证轮换确认影响后行动要快范围要广。立即隔离受影响系统# 停止所有相关的Docker容器 docker ps | grep -i litellm | awk {print $1} | xargs -r docker stop # 在Kubernetes中将相关Deployment副本数缩容到0 kubectl scale deployment -n namespace --replicas0 --selectorapp in (litellm, litellm-proxy) # 或者直接删除相关部署如果你确定要重建 kubectl delete deployment -n namespace litellm-proxy全面轮换所有可能泄露的凭证这是最繁琐但最关键的一步。恶意软件收集的信息非常全面你必须假设以下所有凭证都已泄露云服务凭证立即在AWS IAM、GCP IAM、Azure AD中吊销现有的访问密钥、服务账户密钥创建并启用新的密钥。检查是否有临时凭证如EC2 Instance Profile、Workload Identity被滥用。SSH密钥更换所有在受影响机器上~/.ssh/目录中的公私钥对包括id_rsa,id_ed25519等。同时更新所有远程服务器Git仓库、跳板机等上授权的公钥。API密钥与令牌所有LLM提供商OpenAI, Anthropic, Google AI Studio (Gemini), Cohere, Together AI等。立即在各自控制台重置API Key。其他SaaS服务GitHub Personal Access Tokens, Docker Hub tokens, Slack/OAuth tokens等。数据库与应用程序凭证检查项目中所有.env,config.yaml,secrets.json等文件更新数据库密码、Redis密码、第三方服务密钥等。Kubernetes Secrets如果恶意Pod在集群内运行过必须轮换所有敏感的Secret特别是default命名空间下的defaultServiceAccount token以及任何自定义的Secret。加密货币钱包如果受影响机器上有钱包文件如*.keystore,wallet.dat立即将资产转移到全新的、安全的钱包地址。这是最高优先级操作之一。实操心得建立一个“凭证清单”文档非常重要。在平时就记录下所有系统、服务使用的关键凭证类型和位置在应急响应时能帮你快速定位避免遗漏。轮换后务必更新所有CI/CD流水线、环境变量配置和配置文件。2.3 第三步根除恶意组件与排查持久化后门仅仅卸载包是不够的必须彻底清除残留。彻底清除Python环境中的恶意包# 1. 卸载litellm并彻底清理pip缓存 pip uninstall -y litellm pip cache purge # 清除pip缓存防止后续安装误用 # 2. 手动删除可能残留的.pth文件 # 找到你的site-packages目录 SITE_PACKAGES$(python -c import site; print(site.getsitepackages()[0])) find $SITE_PACKAGES -name litellm_init.pth -delete # 3. 检查并清理可能被感染的虚拟环境 # 如果你使用venv/conda最好直接删除整个虚拟环境目录并重建。 rm -rf /path/to/your/venv排查系统级后门攻击者部署了systemd服务和Kubernetes Pod来实现持久化。# 1. 检查系统服务 systemctl list-units --typeservice --all | grep -i sysmon find /etc/systemd/system /usr/lib/systemd/system -name *sysmon* -o -name *litellm* 2/dev/null # 2. 检查用户级systemd服务 find ~/.config/systemd/user -name *.service 2/dev/null | xargs ls -la # 3. 检查可疑的配置文件目录 ls -la ~/.config/ | grep -i sysmon rm -rf ~/.config/sysmon/ # 如果存在直接删除 # 4. 在Kubernetes中搜索攻击者部署的Pod kubectl get pods --all-namespaces -o wide | grep -E alpine|node-setup|proxy # 特别注意kube-system命名空间中的陌生Pod kubectl describe pod -n kube-system suspicious-pod-name # 确认后立即删除 kubectl delete pod -n kube-system suspicious-pod-name --force --grace-period0重建容器镜像所有包含受感染版本LiteLLM的Docker镜像都必须视为不可信。# 在Dockerfile中确保基础镜像和构建步骤是干净的并使用 --no-cache 重建 docker build --no-cache -t your-app:clean . # 推送新镜像并更新所有K8s Deployment的镜像标签切勿尝试降级到之前的“安全”版本。一旦信任被破坏整个包的发布链都值得怀疑。最安全的做法是完全移除并用其他可信方案替代。3. 架构反思与替代方案选型清理完现场后我不得不停下来思考一个更根本的问题我们为什么要把一个管理着最敏感API密钥的组件以包含数百个依赖的Python包的形式进行自托管这次事件暴露了自托管AI代理网关的固有风险。3.1 自托管模式的结构性风险LiteLLM本身是一个优秀的工具但它遵循了典型的Python开源项目模式功能强大依赖众多。当你pip install litellm时你引入的不仅仅是一个包而是一整棵依赖树。这棵树上任何一个环节即使是间接依赖的维护者账户被攻破都可能让你的系统门户大开。风险点集中分析信任边界无限扩大你信任LiteLLM的维护者但你是否也信任urllib3,requests,numpy,pandas以及它们所有依赖的维护者每一次pip install都是一次盲目的信任投票。响应延迟的致命性在此次事件中从Trivy Action被攻破3月19日到LiteLLM维护者轮换其CI/CD凭证中间有五天时间。对于下游用户来说这五天窗口期是完全暴露的。即使维护者反应迅速从漏洞披露到所有用户更新版本也存在一个不可避免的时间差这个时间差就是攻击者的机会窗口。安全工具覆盖不全如前所述.pth攻击向量超出了许多静态分析工具的常规检测模式。依赖软件物料清单SBOM和漏洞扫描如Trivy、Grype是必要的但并非充分条件。运维负担自托管意味着你需要自己维护这个代理服务的可用性、性能、升级和打补丁。当底层依赖出现安全漏洞时比如Log4j事件你需要第一时间跟进并重建镜像。3.2 从自托管到托管网关攻击面的根本性收缩经过评估我将替代方案分为两类其他自托管替代品如LocalAI、OpenAI-Proxy等和托管网关服务。前者虽然换了包但依赖树风险和运维负担依然存在。后者则将风险模型从“维护一个复杂的软件栈”转变为“管理一个API密钥和端点”。我最终选择了转向托管网关模式例如Prism由Future AGI提供这类服务。其核心价值在于攻击面极小化你的应用不再需要安装LiteLLM及其所有依赖。你只需要一个HTTP客户端和一个API密钥。恶意代码无法通过Python包依赖链注入到你的运行环境中。责任转移网关服务提供商负责其基础设施的安全、合规、高可用和升级。他们通常拥有专业的安全团队和更严格的供应链控制例如使用更安全的语言如Go编写核心网关减少动态语言的依赖风险。即时缓解如果网关服务自身发现威胁可以在后端全局快速修复和更新所有用户瞬间得到保护无需各自升级客户端库。迁移成本低得惊人。对于绝大多数使用OpenAI SDK格式的应用迁移只需修改两行配置Python迁移示例# 之前使用LiteLLM from litellm import completion response completion( modelgpt-4, messages[{role: user, content: Hello}], api_keyyour-openai-key # 密钥分散在代码或环境变量中 ) # 之后使用托管网关如Prism from openai import OpenAI # 只需更改base_url和api_keySDK调用方式完全不变 client OpenAI( base_urlhttps://gateway.futureagi.com, # 网关地址 api_keysk-prism-your-gateway-key # 网关提供的统一密钥 ) response client.chat.completions.create( modelgpt-4, # 模型名映射由网关处理 messages[{role: user, content: Hello}] )TypeScript/Node.js迁移示例import OpenAI from openai; // 之前可能需要配置复杂的LiteLLM代理URL // 之后只需替换baseURL和apiKey const client new OpenAI({ baseURL: https://gateway.futureagi.com, apiKey: sk-prism-your-gateway-key, }); const response await client.chat.completions.create({ model: gpt-4o, messages: [{ role: user, content: Hello }], });Kubernetes部署更新对于在K8s中运行的应用更新通常只是环境变量的调整env: # 之前 - name: OPENAI_API_BASE value: http://litellm-proxy-service:4000 - name: OPENAI_API_KEY valueFrom: secretKeyRef: name: openai-secret key: api-key # 之后 - name: OPENAI_API_BASE value: https://gateway.futureagi.com # 指向托管网关 - name: OPENAI_API_KEY value: sk-prism-your-gateway-key # 使用网关密钥无需管理多个提供商密钥迁移完成后你就可以安全地删除自托管的LiteLLM Deployment、Service以及可能为其提供支持的数据库如Postgres、Redis显著简化了基础设施栈。3.3 托管网关的附加价值不只是路由除了核心的安全优势现代托管网关还提供了一些开箱即用的高级功能这些功能如果自建需要投入大量开发运维精力。语义缓存Semantic Caching 这是让我印象最深的功能之一。传统的精确匹配缓存对于LLM提示词效果有限因为用户的问题表述千变万化。语义缓存能理解问题的意图。例如“你们的退货政策是什么”和“我怎么退货”会被识别为语义相似从而命中同一个缓存条目直接返回缓存的答案并通常在响应头中标记X-Cache-Cost: 0这能极大降低成本和提升响应速度。配置示例from prism import Prism, GatewayConfig, CacheConfig client Prism( api_keysk-prism-your-key, base_urlhttps://gateway.futureagi.com, configGatewayConfig( cacheCacheConfig( enabledTrue, modesemantic, # 启用语义缓存 ttl5m, # 缓存存活时间 namespaceprod # 缓存命名空间隔离 ), ), )统一的护栏Guardrails与审计 在请求到达昂贵的LLM API之前网关层可以实施一系列安全检查例如PII个人身份信息检测与脱敏自动扫描并屏蔽用户输入中的邮箱、电话、身份证号等。提示词注入防护识别并阻断试图让模型越狱或执行不当指令的输入。毒性内容过滤过滤仇恨、暴力等不良内容。集中式日志与审计所有请求和响应都有完整的日志方便合规审查和用量分析。 这些功能相当于在应用和LLM之间增加了一个安全层而自建实现这些功能需要集成多个库并自行维护规则。统一的供应商管理和负载均衡 可以在网关界面轻松配置多个LLM供应商的API密钥和优先级设置故障转移规则。应用代码无需关心当前请求是由OpenAI还是Anthropic处理的网关会自动选择最优或可用的供应商。4. 面向未来的LLM应用安全实践LiteLLM事件不是一个终点而是一个警钟。随着欧盟《网络弹性法案》CRA等法规的出台组织需要对产品中使用的开源组件的安全承担法律责任。SOC 2 Type II等审计也会严格审查依赖管理流程。“我们总是从PyPI拉取最新版本”这样的说辞再也无法通过安全合规审查。4.1 强化软件供应链安全的具体措施即使你决定继续自托管部分组件也必须立即加强你的防线依赖固定与哈希验证固定版本Pinning在requirements.txt或pyproject.toml中固定每个依赖的确切版本号package1.2.3。但这只能防止意外升级到新恶意版本无法防止已固定的版本被维护者恶意覆盖正如本次事件。哈希校验Hashing这是更强大的控制。使用pip的--require-hashes选项或在requirements.txt中为每个包指定SHA256哈希值。这样即使PyPI上的包被篡改只要哈希值不匹配安装就会失败。虽然工具链支持不友好但对于关键基础设施这是必要的。# requirements.txt 示例 litellm1.82.6 \ --hashsha256:abc123... \ --hashsha256:def456...引入软件物料清单SBOM与持续扫描使用cyclonedx-py,syft等工具为你的应用和容器镜像生成SBOM清晰掌握所有直接和传递依赖。将Trivy、Grype等漏洞扫描工具集成到CI/CD流水线中对每次构建进行扫描并设置安全门禁阻止包含高危漏洞的镜像被部署。特别注意扫描工具本身也可能被攻破如本次事件中的Trivy Action。因此必须固定扫描工具Action的版本使用完整SHA256标签并定期审查其安全性。最小权限原则与凭证隔离CI/CD令牌为不同的项目或用途创建独立的、权限最小的PyPI、Docker Hub、GitHub发布令牌。定期轮换这些令牌。运行时凭证使用云厂商的机密管理服务如AWS Secrets Manager, GCP Secret Manager, Azure Key Vault动态注入凭证而非存储在环境变量或代码文件中。网络策略在Kubernetes中使用NetworkPolicy严格限制Pod的网络出口只允许访问必要的服务域名和端口阻止向未知域名如攻击者的C2服务器发送数据。考虑使用更安全的语言与分发格式 对于代理、网关这类基础设施组件可以考虑使用Go、Rust等编译型语言编写的替代品。它们通常以静态二进制文件分发依赖关系简单供应链攻击面远小于Python。或者使用Docker镜像作为分发和运行的标准格式通过对镜像进行签名和验证来保证完整性。4.2 架构决策框架自托管 vs. 托管服务面对LLM应用架构你现在有了一个更清晰的决策矩阵考量维度自托管代理/网关 (如 LiteLLM)托管网关服务 (如 Prism)安全责任你承担全部。包括依赖安全、运行时安全、漏洞修复、配置安全。与供应商共担。你负责API密钥和客户端安全供应商负责网关基础设施、依赖和运行时的安全。攻击面极大。包含整个Python依赖树数百个包及其供应链风险。极小。缩减为一个API端点和一个密钥。无运行时依赖风险。运维负担高。需要部署、监控、扩缩容、升级、打补丁、备份。低。无需管理基础设施供应商提供SLA。功能特性灵活。可以深度定制集成任何Python库。开箱即用。提供缓存、护栏、审计、负载均衡等企业级功能但定制性可能受限。成本显性成本低开源但隐性成本高工程师运维时间、安全风险成本。有订阅费用但包含了安全、合规和运维的成本。合规性需要自行构建所有审计日志、访问控制以满足SOC2、ISO27001等要求。通常由供应商提供合规套件审计日志、数据处理协议等简化合规流程。锁定风险低。代码在自己手中。中。API接口通常兼容OpenAI SDK迁移回自托管或换供应商相对容易但高级功能可能依赖特定实现。我的建议是对于早期原型、实验性项目或对成本极度敏感的场景自托管开源方案是可行的起点但必须配套实施严格的供应链安全措施。对于任何处理生产数据、用户数据或涉及商业逻辑的LLM应用尤其是团队安全运维资源有限的情况下采用托管网关服务是风险更低、长期总成本更可控的选择。这次事件让我付出了两天时间进行紧急响应和全盘审计根本原因是一个我甚至不知道存在于我依赖树中的包。这个教训的代价是昂贵的但它彻底改变了我对现代软件依赖和AI基础设施安全的理解。与其在安全事故后疲于奔命地“救火”不如在架构设计之初就选择一条更安全、更专注的道路——把有限的工程时间投入到创造产品价值上而不是维护复杂且脆弱的基础设施链条。
相关文章
StreamFX终极指南:为OBS Studio解锁200+专业级视觉特效
StreamFX终极指南:为OBS Studio解锁200专业级视觉特效 【免费下载链接】obs-StreamFX StreamFX is a plugin for OBS Studio which adds many new effects, filters, sources, transitions and encoders! Be it 3D Transform, Blur, complex Masking, or even custo…
如何突破yuzu模拟器帧率限制,让你的Switch游戏体验翻倍
如何突破yuzu模拟器帧率限制,让你的Switch游戏体验翻倍 【免费下载链接】yuzu-downloads 项目地址: https://gitcode.com/GitHub_Trending/yu/yuzu-downloads 还在为yuzu模拟器默认的60fps限制而困扰吗?当你沉浸在《塞尔达传说:王国之…
终极Mermaid Live Editor指南:免费在线图表编辑器的完整使用教程
终极Mermaid Live Editor指南:免费在线图表编辑器的完整使用教程 【免费下载链接】mermaid-live-editor Edit, preview and share mermaid charts/diagrams. New implementation of the live editor. 项目地址: https://gitcode.com/GitHub_Trending/me/mermaid-l…
SYN Flood攻击的深度剖析与实战防御指南
1. SYN Flood攻击的本质与危害 第一次在服务器监控大屏上看到SYN Flood攻击告警时,我盯着那根突然飙升的流量曲线愣了三秒。作为运维人员最熟悉的"老对手",这种基于TCP协议缺陷发起的DDoS攻击,就像网络世界的海啸——瞬间就能淹没整…
C++_List_调用及模拟实现
【本节目标】 1. list的介绍及使用2. list的深度剖析及模拟实现3. list与vector的对比 1.List的介绍及使用 1.1 初始List1.2 reverse()1.3 基于iterator迭代的分类1.4 sort()输出结果:1.5 对比_STL中vector和List的排序…
ESP32 SPI主机接口实战:从基础配置到高效数据传输
1. SPI协议与ESP32硬件基础 第一次接触SPI总线时,我被它简洁的四线制设计惊艳到了。相比I2C的两根线,SPI虽然多用了两根线,但换来了更高的传输速率和更简单的协议栈。记得当时用逻辑分析仪抓取波形,看到主设备通过SCK时钟线精准控…
终极指南:paraphrase-MiniLM-L12-v2在智能客服中的语义匹配最佳实践
终极指南:paraphrase-MiniLM-L12-v2在智能客服中的语义匹配最佳实践 【免费下载链接】paraphrase-MiniLM-L12-v2 项目地址: https://ai.gitcode.com/hf_mirrors/HangZhou_Ascend/paraphrase-MiniLM-L12-v2 在当今智能客服系统中,语义匹配是提升用…
LookScanned.io终极指南:浏览器内PDF秒变扫描件的免费神器
LookScanned.io终极指南:浏览器内PDF秒变扫描件的免费神器 【免费下载链接】lookscanned.io 📚 LookScanned.io - Make your PDFs look scanned 项目地址: https://gitcode.com/gh_mirrors/lo/lookscanned.io 你是否曾经需要将电子文档转换为看起…
TaskbarX终极指南:如何通过开源工具重新定义Windows任务栏体验
TaskbarX终极指南:如何通过开源工具重新定义Windows任务栏体验 【免费下载链接】TaskbarX Center Windows taskbar icons with a variety of animations and options. 项目地址: https://gitcode.com/gh_mirrors/ta/TaskbarX TaskbarX是一款专注于Windows任务…
LVGL绘制平滑曲线避坑指南:为什么你的贝塞尔函数有毛刺?
LVGL绘制平滑曲线避坑指南:为什么你的贝塞尔函数有毛刺? 在嵌入式GUI开发中,贝塞尔曲线是实现流畅动画和优雅界面的核心工具。但许多开发者在使用LVGL绘制曲线时,总会遇到令人头疼的锯齿和毛刺问题。这背后隐藏着嵌入式设备特有的…
告别手动输入!用Burpsuite插件captcha-killer-modified+ddddocr,5分钟搞定登录爆破验证码
自动化验证码识别实战:Burpsuite与ddddocr的高效联动方案验证码机制作为现代Web应用的基础安全防线,其对抗自动化攻击的能力直接影响系统安全性。但在安全测试领域,验证码往往成为效率瓶颈——传统手工识别方式让渗透测试人员每天浪费数小时在…
中国AI岗位暴涨12倍,13种你没听过的AI岗位
2026年,中国AI岗位数量同比增长12倍,AI科学家月薪高达13.7万,高性能计算工程师出现“7个岗位抢1个人”的荒诞场面。与此同时,数据录入、基础财务分析、一线客服等岗位大幅下降。全球范围内,AI/ML岗位招聘量同比增长88%…
施工现场安全事故预警准确率达94.6%?——解密某央企AI Agent边缘计算部署架构与3个月落地实录
更多请点击: https://codechina.net 第一章:施工现场安全事故预警准确率达94.6%?——解密某央企AI Agent边缘计算部署架构与3个月落地实录 在华北某大型地铁盾构施工现场,一套轻量化AI Agent系统于2024年Q2完成全栈部署ÿ…
附录 B:术语表
本术语表面向“从 MM 到 HMM”专栏阅读过程中的快速查阅。它不是内核 API 手册,而是把文章中反复出现的概念放到同一张地图上:先给出直观含义,再说明它在 Linux MM/HMM 语境里的作用。建议阅读方式: 初读专栏时,把它当…
Midjourney渐变美学的神经渲染原理(附RGB-HSV-LCH三空间渐变映射对照表·行业首曝)
更多请点击: https://kaifayun.com 第一章:Midjourney渐变美学的神经渲染原理(附RGB-HSV-LCH三空间渐变映射对照表行业首曝) Midjourney 的渐变美学并非传统插值实现,而是由其隐式神经渲染器(Implicit Neu…
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案 【免费下载链接】MPC-BE MPC-BE – универсальный проигрыватель аудио и видеофайлов для операционной системы Windows. 项目地址:…
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南 【免费下载链接】STL-Volume-Model-Calculator STL Volume Model Calculator Python 项目地址: https://gitcode.com/gh_mirrors/st/STL-Volume-Model-Calculator 你是否曾经为3D打印项目…
通过Taotoken CLI工具一键配置团队开发环境与模型密钥
通过Taotoken CLI工具一键配置团队开发环境与模型密钥 1. CLI工具安装与基本使用 Taotoken提供的CLI工具可通过npm全局安装或直接使用npx运行。对于需要频繁使用CLI的团队,推荐全局安装: npm install -g taotoken/taotoken对于临时使用或项目级配置&a…