AI领域：开源库泄露用户数据风险

来源：Hadoop大数据应用发布时间：2024-04-15近日，一项严重的安全问题浮出水面，数千家公司下载的 Python 包索引(PyPI)被发现存在数据泄露问题，将敏感的客户信息传输至未知服务器。这一事件迫使开源库的维护者不得不采取紧急措施，暂停了新用户的注册，以遏制事态的进一步恶化。这种攻击被形象地描述为一种“多阶段攻击”，其手段是一种名为“拼写错误”(typosquatting)的方法。攻击者利用这种方式，通过在用户的浏览器中植入恶意代码，从而窃取加密钱包、敏感数据(如cookie、扩展数据等)以及其他重要凭据。据网络安全公司Phylum的追踪报告显示，攻击者通过上传与流行合法包名称极为相似的恶意包，从而实施了这次攻击。他们发布了67种“requests”的变体、38种“Matplotlib”的变体，以及其他数十种常用软件包的拼写错误变体。事实上，长期以来 ………………………………