• 漏洞编号：暂无
• 漏洞等级：高危
• 漏洞标签：暂无
• 发布时间：2026-04-23

漏洞描述

Xinference（Xorbits Inference）是一款 AI 模型部署工具。 2026年4月23日，互联网上披露其发生供应链投毒攻击，其投毒版本（2.6.0\-2.6.2）中 \_\_init\_\_.py 被插入了恶意代码，受害者安装恶意版本包后，攻击者可借此收集各类敏感信息，控制受害者服务器权限。

修复建议

1. 若存在上述版本的Xinference包，请立即删除卸载 2. 云安全中心主机应用漏洞与镜像应用漏洞均已支持检测

参考链接

https://www.ox.security/blog/xinference-allegedly-hacked-by-teampcp-malicious-package-in-pypi/

https://avd.aliyun.com/detail?id=AVD-2026-1868893