全站搜索
首页_赢咖4星辉-官方注册地址
首页_赢咖4星辉-官方注册地址
赢咖4小心你下载的机器学习工具包可能是病毒:CuPy被掉包官方一天后才发现
作者:管理员    发布于:2021-03-09 12:09    文字:【】【】【

  cupy-cuda112这款软件包,前几天被黑客悄悄换成了一个“恶意软件”。不过还个好消息,冒牌的软件包已经被删除了。除此之外,PyPI最近还删除了3653个恶意软件包。

  2月26日凌晨5点,Cupy官方团队计划在这一天发布用于CUDA 11.2的CuPy工具包,因此准备在PyPI中注册cupy-cuda112这个名称。

  然而,他们发现,有人居然在前一天晚上把这个软件包抢注了,而且抢注的黑客还上传了一个无效的版本v2.2.2。

  此时,CuPy已经是v8.4.0了,而官方计划发布的是v8.5.0和v9.0.0b3两个版本。

  CuPy团队迅速向PyPI团队提交移除cupy-cuda112的请求,然后在Twitter和GitHub的issue页向所有程序员发布公告:我们的软件被掉包了。

  PyPI的处理也算迅速,到了中午11点, 假冒的cupy-cuda112软件包终于被下架。

  直到3月2日,CuPy团队才发布了正版cupy-cuda112软件包,攻击事件总算告一段落。

  因为这一版本号和当前CuPy版本差距也太大了。编译代码进行版本查询,很容易就发现猫腻。黑客显然并不想瞒天过海。

  黑客名叫“RemindSupplyChainRisks”,很明显他是为了引起大家对恶意软件风险的重视。

  在这个软件包注释中,他甚至直接写道:“我这样做的目的是使所有人都关注软件供应链攻击,因为风险太大了。”

  所以说,这根本就是一个带着善意提醒的“恶意软件”。但是,如果真的有人利用这个漏洞来攻击别人呢,真是让人细思极恐。

  因为这些科技都有自己的私有PyPI或Node.js软件包,只要上传与之同名的恶意软件,那么程序员们使用pip、npm安装命令就可能中毒。

  Brisan说,这种攻击方式的成功率简直让人吃惊,他也因此获得了多家公司的漏洞赏金。

  根据PEP 841规范,项目维护者有保留软件包索引的权利,恶意软件抢注名称将被视为无效而被删除。

  本文系网易新闻•网易号特色内容激励计划签约账号【量子位】原创内容,未经账号授权,禁止随意转载。

  原标题:《小心!你下载的机器学习工具包可能是病毒:CuPy被掉包,官方一天后才发现》赢咖4注册赢咖4注册

相关推荐
  • 赢咖4注册人工智能的严重问题是“什么”?
  • 赢咖4小心你下载的机器学习工具包可能是病毒:CuPy被掉包官方一天后才发现
  • 赢咖4非线性不仅能帮助机器学习而且是一种强大的特征工程工具
  • 赢咖4注册松下意图收购机器学习公司 Blue Yonder:或花费近 65 亿美元
  • 赢咖4富士康采用谷歌机器学习程序检测不良产品提高智能手机生产效率
  • 赢咖4注册探究机器学习和物联网结合的四大好处
  • 赢咖4娱乐为什么很多机器学习策略会失败
  • 赢咖4娱乐机器学习相关上市公司有哪些?机器学习上市公司龙头一览
  • 赢咖4娱乐对机器学习失败的原因的分析与解决方案
  • 赢咖4【愿景学城】两分钟带你理解机器学习是什么
  • 脚注信息
    版权所有 Copyright(C)2020 星辉娱乐
    网站地图|xml地图|友情链接: 百度一下