arek m

A Tesla has been plugged in at the Tesla Supercharger at Frankfurt Airport for at least a week. At the end of last year, there was a similar case near Munich where, after about a month, Tesla removed/cut the cable and attached a new one because the vehicle (not a Tesla) was blocking two charging stalls.

Someone just poisoned the Python package that manages AI API keys for NASA, Netflix, Stripe, and NVIDIA.. 97 million downloads a month.. and a simple pip install was enough to steal everything on your machine. The attacker picked the one package whose entire job is holding every AI credential in the organization in one place. OpenAI keys, Anthropic keys, Google keys, Amazon keys… all routed through one proxy. All compromised at once. The poisoned version was published straight to PyPI.. no code on GitHub.. no release tag.. no review. Just a file that Python runs automatically on startup. You didn’t need to import it. You didn’t need to call it. The malware fired the second the package existed on your machine. The attacker vibe coded it… the malware was so sloppy it crashed computers.. used so much RAM a developer noticed their machine dying and investigated. They found LiteLLM had been pulled in through a Cursor MCP plugin they didn’t even know they had. That crash is the only reason thousands of companies aren’t fully exfiltrated right now. If the code had been cleaner nobody notices for weeks. Maybe months. The attack chain is the part that gets worse every sentence. TeamPCP compromised Trivy first. A security scanning tool. On March 19. LiteLLM used Trivy in its own CI pipeline… so the credentials stolen from the SECURITY product were used to hijack the AI product that holds all your other credentials. Then they hit GitHub Actions. Then Docker Hub. Then npm. Then Open VSX. Five package ecosystems in two weeks. Each breach giving them the credentials to unlock the next one. The payload was three stages.. harvest every SSH key, cloud token, Kubernetes secret, crypto wallet, and .env file on the machine.. deploy privileged containers across every node in the cluster.. install a persistent backdoor waiting for new instructions. TeamPCP posted on Telegram after: “Many of your favourite security tools and open-source projects will be targeted in the months to come.. stay tuned.” Every AI agent, copilot, and internal tool your company shipped this year runs on hundreds of packages exactly like this one… nobody chose to install LiteLLM on that developer’s machine. It came in as a dependency of a dependency of a plugin. One compromised maintainer account turned the entire trust chain into a credential harvesting operation across thousands of production environments in hours. The companies deploying AI the fastest right now have the least visibility into what’s underneath it.

🎉 Tesla öffnet die Gigafactory Grünheide wieder für Schüler und Eltern. Am 27. März gibt’s den nächsten „Open Day“ für Jugendliche der 9. bis 13. Klasse. Mit 7 Workshops, darunter Robotics, 3D-Druck, Paint und neu sogar Werkfeuerwehr. Anmeldung läuft über Tesla, Anmeldeschluss ist der 20. März. Nur 50 Plätze verfügbar! In Grünheide gibt es 2026 insgesamt 18 Ausbildungsberufe und 5 duale Studiengänge. Für die Region ist das schon ein starkes Signal. Wer Technik feiert und mal direkt hinter die Kulissen der Gigafactory schauen will, für den dürfte das eine seltene Chance sein. ✅

Wenn dein Schwimmlehrer vor deinen Augen ertrinkt, fängst du an, seine Qualifikation zu hinterfragen. McKinsey ist gerade ertrunken. McKinseys KI-Chatbot "Lilli" wurde in 2 Stunden gehackt. 46,5 Millionen Chat-Nachrichten im Klartext. M&A-Deals, Kundenstrategien, vertrauliche Dateien. 728.000 Dokumente. 57.000 Nutzerkonten. Alles offen. Alles editierbar. Die Schwachstelle? SQL Injection. Die kennt jeder Informatik-Erstsemester. McKinseys eigene Scanner haben sie zwei Jahre lang übersehen. Ein KI-Agent hat sie in 2 Stunden gefunden. Ohne Zugangsdaten. Einfach so. Das wäre peinlich genug für jedes Unternehmen. Aber McKinsey positioniert sich als globaler Vorreiter für KI-Transformation. Berät DAX-Konzerne und Regierungen, wie man KI sicher einsetzt. Und kriegt das eigene Produkt nicht in den Griff. Und es sind nicht McKinseys Daten, die da schwimmen. Es sind deine. Alles landet in Lilli. Dein M&A-Deal teilt sich die Datenbank mit der Frage, ob Hafermilch im Flat White zulässig oder eine Todsünde ist. Überrascht mich das? Kein bisschen. Ich habe in etlichen Projekten mit McKinsey zusammengearbeitet. Brillante Strategen, exzellente Folien. Aber echte technologische Expertise? Dünn. Sehr dünn. Wer KI-Transformation verkauft, aber SQL Injection nicht findet, hat kein Sicherheitsproblem. Der hat ein Glaubwürdigkeitsproblem. Aber das Glaubwürdigkeitsproblem hat nicht nur McKinsey. Ich führe hunderte Gespräche im Jahr mit Geschäftsführern, Bürgermeistern, IT-Leitern. Alle sagen: "Bei uns halten sich alle an die Regeln." Das ist - und ich wähle meine Worte hier sehr bewusst -Bullshit. (Das Thalia Theater hat angerufen, die wollen das Stück aufführen.) Du stehst unter Zeitdruck und knallst eine komplette Mail mit Kundendaten per Copy & Paste in eine KI. Compliance auf dem Papier schützt keine einzige Zeile Daten. Menschen schützen keine Daten. Technologie schützt Daten. Security by Design. Genau das hat McKinsey nicht gehabt. Und die meisten anderen auch nicht. Letztens habe ich einen IT-Leiter gefragt: "Würden Sie zustimmen, wenn jeder Mitarbeiter seine eigene Software von zu Hause mitbringt und auf Ihren Systemen installiert?" Er hat mich angeguckt, als hätte ich ihm vorgeschlagen, die Firewall abzuschalten. "Nein. Natürlich nicht." Und warum darf dann hier jeder seine eigene KI mitbringen und machen was er will? Schweigen. Lautes Schweigen. Nach außen Rettungsschwimmer. Nach innen Seepferdchen. Aber die Rechnung ist für Olympia-Gold.

🚨NEWS: Mercedes-Benz was sanctioned by the Fair Trade Commission for selling electric cars after concealing the fact that it used recalled battery cells due to fire risks. The plenary session decided to impose a fine of 11.239 billion won on Mercedes Benz Korea, a general seller who imports Mercedes-Benz exclusively to Korea, as it was found to have effectively deceived consumers by concealing and missing battery cell information. To sum up, Mercedes-Benz Korea has been selling its vehicles by hiding the fact that Parasis battery cells are used and deceiving them as if they were equipped with CATL battery cells.