国产冒白浆视频,抱着cao才爽免费视频,胸大美女又大又黄的网站,中文国产日韩欧美二视频,亚洲日本国产综合高清,又大又粗又硬又硬免费日批视频 ,国产二区不卡自拍,777免费人成影院,亚洲成AⅤ人网站,香蕉网站永久在线视频

小心！你下載的機器學習工具包可能是病毒：CuPy被掉包，官方一天后才發(fā)現(xiàn)

曉查 2021-03-08 13:17:26 來源：量子位

真是有驚無險

曉查發(fā)自凹非寺?

量子位報道 | 公眾號 QbitAI

小心！你通過pip安裝的機器學習工具包，有可能是惡意軟件。

如果你最近下載了NumPy的CUDA加速包CuPy，那么你要注意了：

cupy-cuda112這款軟件包，前幾天被黑客悄悄換成了一個“惡意軟件”。

不過還個好消息，冒牌的軟件包已經(jīng)被刪除了。除此之外，PyPI最近還刪除了3653個惡意軟件包。

整個事件的過程是這樣的：

官方名稱被搶注

2月26日凌晨5點，Cupy官方團隊計劃在這一天發(fā)布用于CUDA 11.2的CuPy工具包，因此準備在PyPI中注冊cupy-cuda112這個名稱。

然而，他們發(fā)現(xiàn)，有人居然在前一天晚上把這個軟件包搶注了，而且搶注的黑客還上傳了一個無效的版本v2.2.2。

此時，CuPy已經(jīng)是v8.4.0了，而官方計劃發(fā)布的是v8.5.0和v9.0.0b3兩個版本。

CuPy團隊迅速向PyPI團隊提交移除cupy-cuda112的請求，然后在Twitter和GitHub的issue頁向所有程序員發(fā)布公告：我們的軟件被掉包了。

PyPI的處理也算迅速，到了中午11點，假冒的cupy-cuda112軟件包終于被下架。

直到3月2日，CuPy團隊才發(fā)布了正版cupy-cuda112軟件包，攻擊事件總算告一段落。

善意的提醒

黑客為何要上傳v2.2.2版，令人匪夷所思。

因為這一版本號和當前CuPy版本差距也太大了。編譯代碼進行版本查詢，很容易就發(fā)現(xiàn)貓膩。黑客顯然并不想瞞天過海。

這位黑客極有可能正在進行一項安全測試。

黑客名叫“RemindSupplyChainRisks”，很明顯他是為了引起大家對惡意軟件風險的重視。

在這個軟件包注釋中，他甚至直接寫道：“我這樣做的目的是使所有人都關(guān)注軟件供應鏈攻擊，因為風險太大了。”

所以說，這根本就是一個帶著善意提醒的“惡意軟件”。但是，如果真的有人利用這個漏洞來攻擊別人呢，真是讓人細思極恐。

假冒軟件包還會向一個IP地址發(fā)送GET請求，告訴黑客有哪些人被攻擊了。

這不禁讓人想起，一個月前類似的事件。

當時安全研究員Alex Birsan發(fā)現(xiàn)，采用掉包同名軟件的手法，可以攻破蘋果、微軟、特斯拉等公司的內(nèi)部網(wǎng)絡(luò)。

因為這些科技都有自己的私有PyPI或Node.js軟件包，只要上傳與之同名的惡意軟件，那么程序員們使用pip、npm安裝命令就可能中毒。

Brisan說，這種攻擊方式的成功率簡直讓人吃驚，他也因此獲得了多家公司的漏洞賞金。

根據(jù)PEP 841規(guī)范，項目維護者有保留軟件包索引的權(quán)利，惡意軟件搶注名稱將被視為無效而被刪除。

但是規(guī)范終究只是規(guī)范，缺乏安全審查的包管理工具風險依然存在。

參考鏈接： [1]?https://www.theregister.com/2021/03/02/python_pypi_purges/ [2]?https://github.com/cupy/cupy/issues/4787

版權(quán)所有，未經(jīng)授權(quán)不得以任何形式轉(zhuǎn)載及使用，違者必究。

NumPy Python

曉查

国产冒白浆视频,抱着cao才爽免费视频,胸大美女又大又黄的网站,中文国产日韩欧美二视频,亚洲日本国产综合高清,又大又粗又硬又硬免费日批视频 ,国产二区不卡自拍,777免费人成影院,亚洲成AⅤ人网站,香蕉网站永久在线视频

小心！你下載的機器學習工具包可能是病毒：CuPy被掉包，官方一天后才發(fā)現(xiàn)

相關(guān)閱讀

macOS新版本終于刪掉自帶Python2，這波操作連Python死忠粉都叫好

「Smile」一下，輕松用Java玩轉(zhuǎn)機器學習

JupyterLab 3.0發(fā)布：支持中文界面，安裝插件無需Node.js

讓GAN隨音樂律動的Python工具，網(wǎng)友：這是我見過的GAN的最佳用法 | reddit高贊

好消息！C++程序員也能用上NumPy了

Excel變天！微軟把Python「塞」進去了，直接可搞機器學習

熱門文章

標準化3D生成質(zhì)量榜單來了！首創(chuàng)層次化評價體系，告別“誰的demo更吸睛”主觀評估

宇樹機器人“撞人逃逸”火到國外，王興興回應：下次不遙控了

一周六連發(fā)！昆侖萬維將多模態(tài)AI卷到了新高度

讓AI創(chuàng)作不千篇一律，提示詞隨機插詞匯就行

賣酒的茅臺要學AI了！和奔馳麥當勞一起拜師百度

国产冒白浆视频,抱着cao才爽免费视频,胸大美女又大又黄的网站,中文国产日韩欧美二视频,亚洲日本国产综合高清,又大又粗又硬又硬免费日批视频 ,国产二区不卡自拍,777免费人成影院,亚洲成AⅤ人网站,香蕉网站永久在线视频

小心！你下載的機器學習工具包可能是病毒：CuPy被掉包，官方一天后才發(fā)現(xiàn)

相關(guān)閱讀

macOS新版本終于刪掉自帶Python2，這波操作連Python死忠粉都叫好

「Smile」一下，輕松用Java玩轉(zhuǎn)機器學習

JupyterLab 3.0發(fā)布：支持中文界面，安裝插件無需Node.js

讓GAN隨音樂律動的Python工具，網(wǎng)友：這是我見過的GAN的最佳用法 | reddit高贊

好消息！C++程序員也能用上NumPy了

Excel變天！微軟把Python「塞」進去了，直接可搞機器學習

熱門文章

標準化3D生成質(zhì)量榜單來了！首創(chuàng)層次化評價體系，告別“誰的demo更吸睛”主觀評估

宇樹機器人“撞人逃逸”火到國外，王興興回應：下次不遙控了

一周六連發(fā)！昆侖萬維將多模態(tài)AI卷到了新高度

讓AI創(chuàng)作不千篇一律，提示詞隨機插詞匯就行

賣酒的茅臺要學AI了！和奔馳麥當勞一起拜師百度

小心！你下載的機器學習工具包可能是病毒：CuPy被掉包，官方一天后才發(fā)現(xiàn)

「Smile」一下，輕松用Java玩轉(zhuǎn)機器學習

JupyterLab 3.0發(fā)布：支持中文界面，安裝插件無需Node.js

讓GAN隨音樂律動的Python工具，網(wǎng)友：這是我見過的GAN的最佳用法 | reddit高贊

好消息！C++程序員也能用上NumPy了

Excel變天！微軟把Python「塞」進去了，直接可搞機器學習

標準化3D生成質(zhì)量榜單來了！首創(chuàng)層次化評價體系，告別“誰的demo更吸睛”主觀評估

宇樹機器人“撞人逃逸”火到國外，王興興回應：下次不遙控了

一周六連發(fā)！昆侖萬維將多模態(tài)AI卷到了新高度

賣酒的茅臺要學AI了！和奔馳麥當勞一起拜師百度