Wie das PyTorch-Team bekannt gab, ist das Machine-Learning-Framework zum Ziel eines Supply-Chain-Angriffs geworden. Entwicklerinnen und Entwickler, die zwischen dem 25. und 30. Dezember 2022 PyTorch-nightly unter Linux via pip installiert haben, sollen demnach PyTorch und die Dependency torchtriton unverzüglich deinstallieren und auf eine neuere Nightly-Version nach dem 30. Dezember 2022 zurückgreifen. Nutzerinnen und Nutzer der stabilen Version sind laut dem Entwicklungsteam nicht betroffen.

Die im betreffenden Zeitraum heruntergeladenen Linux-Packages für PyTorch Nightly Builds installierten die im Python Package Index (PyPI) Code Repository kompromittierte Dependency torchtriton und führten eine schadhafte Binary aus. Dahinter steckt, dass der auf PyPI hochgeladene Schadcode den gleichen Namen trägt wie die Dependency torchtriton und aufgrund der Präzedenz des PyPI-Index diese ersetzte, anstatt torchtriton aus dem offiziellen PyTorch-Repository zu installieren.

Das Ausführen des folgenden Codes soll darüber informieren, ob die eigene Installation betroffen ist: