據 1M AI News 監測,OpenAI 創始成員 Andrej Karpathy 發帖稱 AI 代理開發工具 LiteLLM 遭遇的供應鏈攻擊是「現代軟體中基本上最恐怖的事」。LiteLLM 月下載量 9700 萬次,v1.82.7 和 v1.82.8 兩個中毒版本已從 PyPI 下架。
僅一句 pip install litellm 就足以竊取機器上的 SSH 密鑰、AWS/GCP/Azure 雲憑證、Kubernetes 配置、git 憑證、環境變數(含所有 API 密鑰)、shell 歷史記錄、加密錢包、SSL 私鑰、CI/CD 密鑰和資料庫密碼。惡意程式碼通過 4096 位 RSA 加密打包資料外傳至偽裝域名 models.litellm.cloud,還會嘗試在 Kubernetes 集群的 kube-system 命名空間中建立特權容器植入持久後門。
更危險的是傳染性:任何依賴 LiteLLM 的專案都會連帶中招,例如 pip install dspy(依賴 litellm>=1.64.0)同樣會觸發惡意程式碼。中毒版本在 PyPI 上僅存活約 1 小時便被發現,原因頗為諷刺:攻擊者自己的惡意程式碼有個 bug,導致記憶體耗盡崩潰。開發者 Callum McMahon 在 AI 編程工具 Cursor 中使用一個 MCP 插件時,LiteLLM 作為傳遞依賴被拉入,安裝後機器直接崩潰,由此暴露了攻擊。Karpathy 評論稱:「如果攻擊者沒有 vibe code 這次攻擊,它可能數天甚至數週都不會被發現。」
攻擊組織 TeamPCP 于 2 月底利用 LiteLLM 的 CI/CD 管道中 Trivy 漏洞掃描器在 GitHub Actions 中的配置缺陷入侵,竊取了 PyPI 發佈令牌,隨後繞過 GitHub 直接向 PyPI 上傳惡意版本。LiteLLM 維護方 Berri AI CEO Krrish Dholakia 表示已刪除所有發佈令牌,計畫轉向基於 JWT 的可信發佈機制。PyPA 發布安全通告 PYSEC-2026-2,建議所有安裝過受影響版本的用戶假設環境中所有憑證已洩露,應立即輪換。
