本期摘要

本期重点关注 PyPI 供应链安全连续告警——LiteLLM 与 telnyx 相继被植入恶意代码,警示开源依赖风险;OpenWrt 社区则围绕 25.12.x 升级路径与华为、MikroTik 等设备适配展开热烈讨论。

Linux 动态

LiteLLM PyPI 包遭供应链攻击,信息窃取恶意软件曝光

3 月 24 日,广泛使用的 LLM 网关库 LiteLLM 在 PyPI 上发布的版本被发现植入信息窃取恶意软件。攻击者通过污染上传流程将恶意代码混入正式包,波及大量依赖该库的 AI 基础设施项目。LWN 详细复盘了此次事件中多个环节失守的根本原因,包括发布流程缺乏签名校验与二次审核机制。

🔗 原文

telnyx PyPI 包被注入恶意代码,周下载量逾百万受波及

SafeDep 研究人员发现,telnyx 4.87.1 与 4.87.2 两个版本于 3 月 27 日上传至 PyPI 时,telnyx/_client.py 已被注入恶意代码。该包周均下载量超过 100 万次,潜在影响范围极广。事件与 LiteLLM 攻击时间高度重叠,疑似同一攻击者或组织所为,建议所有使用者立即锁定版本并核查环境。

🔗 原文

稳定版内核 6.12.79 紧急发布,回滚 LoongArch 构建破坏性补丁

Greg Kroah-Hartman 宣布发布 6.12.79 稳定版内核,此版本仅包含单一变更:回滚导致 LoongArch 平台无法构建 6.12.78 的问题补丁。受影响的龙芯用户应尽快升级以恢复正常构建流程,其余平台用户可按常规节奏跟进。

🔗 原文

多发行版周五安全更新集中推送

AlmaLinux、Debian、Fedora 等主流发行版于 3 月 27 日集中发布安全更新,涉及 GnuTLS、nginx、Firefox ESR、Thunderbird、python3、vim 等高频组件。网络设备与服务器管理员应重点关注 GnuTLS 与 nginx 相关补丁,尽快完成线上环境修复。

🔗 原文

芯片 & 硬件

Musk 提出 TERAFAB 轨道算力构想:80% AI 算力迁移至太空

马斯克在 3 月 21 日 TERAFAB 发布活动上提出颠覆性预言:未来约 80% 的 AI 算力将离开地面数据中心,转移至太空轨道平台。其逻辑基础在于地球散热资源有限,而轨道具备近乎无限的太阳能与辐射散热条件。这一构想与 SpaceX 的 Starlink 算力延伸路线图深度契合,但工程落地与成本可行性仍存在巨大挑战。

🔗 原文

路由器 & OpenWrt

MikroTik hAP AC3 v7 版 OpenWrt 固件缺失,用户安装受阻

有用户反映,OpenWrt 25.12.2 官方下载页面针对 ipq40xx/mikrotik 目标的 mikrotik_hap-ac3-squashfs-sysupgrade-v7.bin 文件缺失,导致出厂搭载 RouterOS v7 的全新 hAP AC3 无法完成刷机。该固件在早期版本中曾存在,疑为本次 Release 构建时遗漏,社区正在跟进确认。

🔗 原文

Attended Sysupgrade 服务器过载,25.12.1 → 25.12.2 升级受阻

多名用户尝试通过 LuCI 的 Attended Sysupgrade 功能从 25.12.1 升至 25.12.2 时遭遇”server overload”错误。命令行方式(auc)可作为临时替代方案,已安装软件包可通过 /etc/opkg/customfeeds.conf 与备份还原机制保留。建议用户错峰操作或等待服务器压力缓解后再行升级。

🔗 原文

华为 HG8145V 移植 OpenWrt 实践:HiSilicon SD5116 平台探索

社区开发者正尝试将 OpenWrt 移植至搭载 HiSilicon SD5116 SoC 的华为 HG8145V(板丝印 HG8245A ver 2)。目前已通过 Dopra Linux 环境获取 root shell,但刷写过程中不慎损坏 KernelA 分区,现寻求恢复方案。HiSilicon 平台的 OpenWrt 支持度历来有限,此移植尝试具有一定参考价值。

🔗 原文

SD 卡部署 OpenWrt 后分区扩容操作指引

用户在 64GB SD 卡上全新安装 OpenWrt 后,通过 partedlosetupresize2fs 等工具尝试扩展根分区,但不确定操作是否生效。社区建议扩容后执行 df -hlsblk 进行验证,并提示 overlay 分区与根分区扩容逻辑存在差异,需区分处理。

🔗 原文

编辑小结

本周最值得警惕的是 PyPI 供应链攻击的连续爆发:LiteLLM 与 telnyx 在同一周内相继中招,表明针对 AI 与通信类高价值 Python 包的定向投毒已成体系,开发者应将依赖锁定(pip freeze + hash 校验)与私有镜像缓存纳入 CI 标准流程。OpenWrt 方面,25.12.2 发布后暴露出 Attended Sysupgrade 服务容量不足与个别目标固件缺失的问题,建议持观望态度的用户再等一至两周待社区确认稳定后再升级。Musk 的轨道算力构想虽然引人注目,但短期内对路由器与无线芯片产业链的直接影响有限,更值得关注的仍是 HiSilicon 等非主流 SoC 的 OpenWrt 适配进展——这类工作直接决定老旧设备的可持续使用寿命。