11 maja 2026 roku atakujący opublikował na PyPI złośliwą wersję pakietu `guardrails-ai` (0.10.1) zawierającą osadzony szkodliwy kod (CWE-506). Każdy użytkownik, który zainstalował tę wersję w dniu publikacji, mógł narazić swoje poświadczenia i środowisko na kompromitację.
▸ Pokaż oryginał (EN)
Guardrails AI is a Python framework that helps build AI applications. On May 11, 2026 at approximately 6:00 PM Pacific, an attacker published a malicious version of `guardrails-ai` (0.10.1) to PyPI. Aany user who installed `guardrails-ai==0.10.1` from PyPI on May 11, 2026 may be affected. Security researchers identified the malicious package within approximately 2 hours of publication, and PyPI quarantined the repository. Based on our telemetry, Guardrails AI maintainers have observed no requests to Guardrails AI infrastructure originating from the malicious 0.10.1 version, and a review of system and access logs has produced no evidence of user data exfiltration through their systems. Users should upgrade to version 0.10.2 or downgrade to version 0.10.0, both of which are unaffected. Those who installed version 0.10.1 should rotate any credentials accessible from their machine (GitHub PATs, cloud provider keys, package registry tokens, API keys) and audit their GitHub account for unauthorized workflows or repositories.
Atakujący przejął lub podszył się pod tożsamość wydawcy pakietu i opublikował wersję 0.10.1 zawierającą złośliwy kod bezpośrednio osadzony w dystrybucji PyPI. Pakiet instalował się standardową ścieżką (`pip install guardrails-ai==0.10.1`), co powodowało wykonanie szkodliwego kodu na maszynie użytkownika. Badacze bezpieczeństwa wykryli złośliwy pakiet w ciągu około 2 godzin od publikacji, po czym PyPI poddał repozytorium kwarantannie.
Atakujący mógł uzyskać dostęp do poświadczeń przechowywanych na zainfekowanej maszynie (tokeny GitHub PAT, klucze dostawców chmury, tokeny rejestrów pakietów, klucze API) oraz potencjalnie wykonać dowolny kod w środowisku ofiary. Maintainerzy Guardrails AI nie odnotowali dowodów eksfiltracji danych użytkowników przez własną infrastrukturę.
Należy niezwłocznie zaktualizować pakiet do wersji 0.10.2 lub obniżyć do wersji 0.10.0. Użytkownicy, którzy zainstalowali wersję 0.10.1, powinni zrotować wszystkie poświadczenia dostępne z zainfekowanej maszyny (tokeny GitHub PAT, klucze dostawców chmury, tokeny rejestrów pakietów, klucze API) oraz przeprowadzić audyt konta GitHub pod kątem nieautoryzowanych workflow i repozytoriów.
Wyłącznie pakiet `guardrails-ai` w wersji 0.10.1, zainstalowany z PyPI w dniu 11 maja 2026 roku. Wersje 0.10.0 i wcześniejsze oraz 0.10.2 i nowsze nie są podatne.
Incydent miał miejsce 11 maja 2026 roku około godziny 18:00 czasu pacyficznego. PyPI poddał złośliwą wersję kwarantannie po około 2 godzinach od publikacji. Maintainerzy Guardrails AI nie odnotowali żadnych żądań do własnej infrastruktury pochodzących z wersji 0.10.1 ani dowodów eksfiltracji danych użytkowników.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:HGuardrailsai Guardrails Ai
APPGuardrailsai0.10.1