近期安全研究团队在用于AI模型训练的开源库PyTorch Lightning中，发现了一款以Shai-Hulud为主题的恶意依赖程序。PyTorch Lightning作为简化PyTorch开发流程的热门工具，被大量AI开发者用于模型训练、实验管理与代码规范化等场景，在AI开发者生态中拥有广泛的用户基础，其开源供应链的安全性直接关系到众多AI项目的稳定推进。此次发现的恶意依赖属于开源软件供应链风险范畴，这类风险通常通过混入合法开源项目的依赖链实现传播，可能对开发者的本地训练环境或云端计算资源造成潜在威胁。安全团队已通过代码分析工具锁定该恶意依赖的特征，并发布相关安全提示，提醒AI开发者及时排查项目中的依赖项，更新至经过安全校验的版本，同时建议开发者在引入开源依赖时，通过专业工具进行安全性扫描，加强对依赖来源的合规性验证。开源AI项目的供应链安全一直是开发者生态中的核心关注点之一，此次事件也再次强调了对开源依赖进行持续安全监测的重要性，有助于维护AI技术开发环境的稳定性与安全性，保障AI项目的顺利开展。