!!!紧急重要告知,请停止并删除当前已部署的Free-API系列服务!!!! #2
Description
刚从Free-API原项目看到消息,由原作者给出的消息,多个Free-API项目被侵入不良代码,原因是一个进行软件供应链攻击的组织向npm上的rand-user-agent包进行了投毒,而Free-API系列项目曾经使用过该依赖,导致仓库的作业历史被重写强制到远程分支使得写入了恶意代码,由于是改写提交历史,使得攻击十分的秘密。
虽然原作者澄清使用Docker构建暂时不受影响,本项目中的Free-API除了Qwen、KIMI、DeepSeek、MiniMax是基于源码重新构建的,其他都是使用原作者构建的Docker,但是考虑安全风险,还是强烈建议正在运行相关服务的朋友,尽快停止并删除。
同时本地自行构建也一并检查本机npm包是否还包含rand-user-agent并清除。
当前项目Free-API系列紧急下架,经重新排查修改后再考虑是否重新上架。
以下是项目Issue原文,可以查看详细经过