PyTorch Lightning 2.6.2/2.6.3 供应链投毒事件

北京赛克艾威科技有限公司 2026-04-30

  • 漏洞编号:暂无
  • 漏洞等级:高危
  • 漏洞标签:暂无
  • 发布时间:2026-04-30

漏洞描述

PyTorch Lightning 是一款 AI 模型部署工具。 2026年4月30 日,互联网上披露其发生供应链投毒攻击,其投毒版本(2.6.2、2.6.3)中被插入了如routerruntime.js等恶意代码,受害者安装恶意版本包后,攻击者可借此收集各类敏感信息,控制受害者服务器权限。

修复建议

1. 若存在上述版本的PyTorch Lightning包,请立即删除卸载 2. 云安全中心镜像应用漏洞均已支持检测

参考链接

https://semgrep.dev/blog/2026/malicious-dependency-in-pytorch-lightning-used-for-ai-training/

https://avd.aliyun.com/detail?id=AVD-2026-1873521