De acordo com a monitorização da 1M AI News, o membro fundador da OpenAI Andrej Karpathy publicou que o ataque à cadeia de abastecimento à ferramenta de desenvolvimento de agentes de IA LiteLLM é “uma das coisas mais assustadoras na software moderna”. O LiteLLM tem 97 milhões de downloads mensais, e as versões infectadas v1.82.7 e v1.82.8 foram removidas do PyPI.
Bastam apenas uma linha de comando pip install litellm para roubar chaves SSH, credenciais de nuvem AWS/GCP/Azure, configurações do Kubernetes, credenciais do git, variáveis de ambiente (incluindo todas as chaves API), histórico do shell, carteiras criptográficas, chaves SSL, chaves de CI/CD e senhas de bases de dados. O código malicioso empacota os dados criptografados com RSA de 4096 bits e os envia para um domínio falso, models.litellm.cloud, além de tentar criar containers privilegiados no namespace kube-system do cluster Kubernetes para implantar backdoors permanentes.
Mais perigoso ainda é o caráter contagioso: qualquer projeto que dependa do LiteLLM também fica comprometido, por exemplo, pip install dspy (que depende de litellm>=1.64.0) também acionará o código malicioso. As versões infectadas foram detectadas na PyPI após cerca de uma hora de publicação, por uma ironia: o próprio código malicioso do atacante tinha um bug que causava o esgotamento de memória e o crash do sistema. O desenvolvedor Callum McMahon, ao usar um plugin MCP na ferramenta de programação de IA Cursor, teve o LiteLLM como dependência transitiva, e após a instalação, a máquina travou, expondo o ataque. Karpathy comentou: “Se o atacante não tivesse o vibe code nesta ataque, pode levar dias ou semanas para ser descoberto.”
A organização de ataque TeamPCP, no final de fevereiro, explorou uma vulnerabilidade no scanner Trivy na pipeline de CI/CD do LiteLLM no GitHub Actions, invadindo e roubando o token de publicação do PyPI, e posteriormente bypassando o GitHub para fazer upload de versões maliciosas diretamente no PyPI. O responsável pelo LiteLLM, Krrish Dholakia, CEO da Berri AI, afirmou que todos os tokens de publicação foram removidos e que planejam adotar um mecanismo de publicação confiável baseado em JWT. A PyPA publicou o aviso de segurança PYSEC-2026-2, recomendando que todos os usuários que tenham versões afetadas instaladas assumam que suas credenciais foram comprometidas e façam a rotação imediata.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
