这次攻击的门道
手法属于供应链攻击的经典套路:往流行框架的依赖链里塞带毒的包,等开发者照常 pip install 时进门。值得警觉的是目标选择,AI 训练环境对攻击者是块宝地:GPU 集群可以拿来挖矿或跑自己的任务,环境变量里常年躺着云凭证和 API 密钥,数据集和模型权重本身就值钱。而研究性质的代码仓库,安全规范往往比生产环境松得多,门好进,东西还多。
防御清单
对策没有新发明,只有老规矩的重申:锁定依赖版本和哈希,别在训练脚本里裸放凭证,训练环境和生产凭证隔离,集群出口流量做监控,能用私有镜像源就别直连公共源。机器学习圈子有个文化问题需要正视:大家习惯了「跑通再说」,requirements.txt 里塞着几百个没人审过的包。这次中招的是 Lightning 生态,下次换个框架重演一遍,几乎是可以排期的事。
via: Hacker News