2025年4月29日，vLLM项目发布了安全更新，修复了多个安全漏洞。奇安信星图实验室的安全研究员协助vLLM项目修复了其中三个关键漏洞，分别是 CVE-2025-32444、CVE-2025-46560 和 CVE-2025-30202。这些漏洞可能被攻击者利用，引发拒绝服务攻击或远程代码执行，对使用 vLLM 的系统构成严重威胁。

自从deepseek V3发布之后，开源生态中出现了大量与其相关的软件包，大多数为工具类软件包。但天问监测模块发现了其中潜藏的部分恶意攻击包，通过包名伪造来诱导用户下载，窃取用户隐私信息。

2024年12月24号，天问Python供应链威胁监测模块发现PyPI中出现了许多利用模块替代攻击的恶意包，这些包中内置的第三方模块（例如requests）会替代用户主机中原有的模块，导致用户在不知情的情况下被攻击。

2024年10月31日至11月3日期间，天问软件供应链分析平台检测到一起针对npm生态的软件供应链攻击事件。在此次攻击中，攻击者利用了以太坊智能合约对恶意C2地址进行了隐蔽，并且通过多阶段复杂的恶意攻击向受害用户主机植入后门，并进行持续控制。

在刚刚结束的网络安全国际顶级会议CCS (The ACM Conference on Computer and Communications Security) 2024中，星图实验室共有3篇学术论文在会议中进行了分享报告。

在刚刚结束的2024第二个季度中，npm生态仍然是开源生态软件供应链攻击发生的重灾区。除了各类复杂的恶意攻击之外，我们还监测到了一起对整个生态产生的影响的垃圾包投放事件。此次所发布的垃圾软件包数量庞大，对npm生态日常运行带来了的额外的负担，并增加了潜在风险发生的可能性。