网安资讯详情 - SecLens 情报雷达

网安资讯,一网打尽。汇集权威漏洞通告与行业要闻,结合分组浏览、智能过滤、RSS订阅 和 Webhook 推送,多通道拓展您的安全情报视野。

Xinference 2.6.0-2.6.2 供应链投毒事件

来源: aliyun_avd · 发布时间 2026-04-23 00:00 (UTC+08:00) · 抓取时间 2026-04-23 14:30 (UTC+08:00)

原文链接

摘要

Xinference(Xorbits Inference)是一款 AI 模型部署工具。 2026年4月23日,互联网上披露其发生供应链投毒攻击,其投毒版本(2.6.0-2.6.2)中 __init__.py 被插入了恶意代码,受害者安装恶意版本包后,攻击者可借此收集各类敏感信息,控制受害者服务器权限。 影响版本: Xinference 2.6.0 Xinference 2.6.1 Xinference 2.6.2

正文

Xinference(Xorbits Inference)是一款 AI 模型部署工具。 2026年4月23日,互联网上披露其发生供应链投毒攻击,其投毒版本(2.6.0-2.6.2)中 __init__.py 被插入了恶意代码,受害者安装恶意版本包后,攻击者可借此收集各类敏感信息,控制受害者服务器权限。 影响版本: Xinference 2.6.0 Xinference 2.6.1 Xinference 2.6.2 CVE编号: N/A 利用情况: 暂无 补丁情况: 官方补丁 阿里云评分: 8.1 ** 威胁评估 ** 攻击路径: 远程 攻击复杂度: 容易 权限要求: 无需权限 影响范围: 全局影响 EXP成熟度: 未验证 补丁情况: 官方补丁 数据保密性: 数据泄露 数据完整性: 传输被破坏 服务器危害: 服务器失陷 全网数量: N/A ** 解决建议 ** 1、若存在上述版本的Xinference包,请立即删除卸载2、云安全中心主机应用漏洞与镜像应用漏洞均已支持检测 ** 参考链接 ** - https://www.ox.security/blog/xinference-allegedly-hacked-by-teampcp-malicious-package-in-pypi/

标签

扩展字段

{
  "aliyun_score": 8.1,
  "avd_id": "AVD-2026-1868893",
  "cvss_details": {
    "EXP成熟度": "未验证",
    "全网数量": "N/A",
    "影响范围": "全局影响",
    "攻击复杂度": "容易",
    "攻击路径": "远程",
    "数据保密性": "数据泄露",
    "数据完整性": "传输被破坏",
    "服务器危害": "服务器失陷",
    "权限要求": "无需权限",
    "补丁情况": "官方补丁"
  },
  "severity_text": "高危"
}