2026年4月23日，腾讯云安全中心披露Xinference存在供应链投毒漏洞。攻击者可通过恶意包在用户安装或导入时窃取云凭证、API密钥、SSH密钥、加密钱包、数据库凭据及环境变量等敏感信息，并回传至远程C2服务器。该风险影响使用受影响版本Xinference的开发者及企业用户。腾讯云建议立即自查依赖清单，停用并升级至官方修复版本，防止凭证泄露与横向渗透。目前无公开利用迹象，但需主动防范。

免责声明：本文内容由开放的智能模型自动生成，仅供参考。