奇客 PyTorch 遭遇依赖混淆攻击，相关人士表示是研究项目出差错了

在 12 月 25 日-30 日之间下载 PyTorch 框架的隔夜构建版本的用户会安装恶意版本的 torchtriton 依赖，窃取系统数据。PyTorch 项目建议用户卸载旧版本安装最新的隔夜构建版本。使用 PyTorch 稳定版本的用户不受影响。一位自称对此事负责的人士表示，恶意版本的 torchtriton 是一个研究项目的一部分，但不小心出差错了。他们对此表示道歉，称窃取的数据已经全部删除。这是最新一起的依赖混淆攻击。

https://www.theregister.com/2023/01/04/pypi_pytorch_dependency_attack/?td=rt-3a