https://yuanchang.org/tags/karpathy/ Recent content in Karpathy on Yuanchang's Blog Hugo -- gohugo.io zh-cn Wed, 25 Mar 2026 16:00:00 +0100 https://yuanchang.org/posts/pip-install-new-attack-surface-litellm/ Wed, 25 Mar 2026 16:00:00 +0100 https://yuanchang.org/posts/pip-install-new-attack-surface-litellm/ 2026年3月24日，月下载量 9700 万的 Python 库 LiteLLM 被植入后门。一行 pip install，SSH 密钥、云凭证、所有 API Key 全部外泄。50 万台机器被感染，300GB 凭证被盗。本文还原事件，提供可直接复制给 AI Agent 的自查 prompt，并从创业者视角分析三个值得长期思考的教训。