AI 開發圈在 3 月 24 日發生一起重大資安事件。廣泛用於串接各大 LLM 的 Python 套件 LiteLLM,其 1.82.8 版本遭到惡意植入,僅需執行
pip install litellm
,就可能造成 SSH 金鑰、AWS/GCP/Azure 憑證、Kubernetes 設定、Git 認證、環境變數(所有 API 金鑰)、Shell 歷史、加密貨幣錢包、SSL 私鑰、CI/CD 機密、資料庫密碼等一次性外洩至遠端伺服器。
傳染範圍:任何依賴 LiteLLM 的專案都受影響
LiteLLM 每月下載量達 9,700 萬次,本身規模已相當龐大。更嚴峻的是,供應鏈攻擊的本質讓傷害範圍遠超過直接使用者——任何依賴 LiteLLM 的套件都會受到波及。例如
pip install dspy
(依賴 litellm>=1.64.0)同樣會中標,其他大型專案亦然。
根據 Andrej Karpathy 在 X 的分析,惡意版本上線時間不到一小時,之所以迅速被發現,純屬意外:開發者 Callum McMahon 在 Cursor 中使用了一個 MCP 插件,該插件將 LiteLLM 作為傳遞依賴(transitive dependency)引入。安裝 1.82.8 時,電腦直接耗盡記憶體當機。若非攻擊者的程式碼有 bug,這次攻擊可能在無人察覺的情況下持續數週。
LiteLLM CEO 帳號疑遭入侵,屬更大規模攻擊活動
安全研究人員指出,LiteLLM 的 GitHub 與 PyPI 帳號疑似遭到入侵,且此事件並非孤立事件——同一攻擊行動(TeamPCP)同步對 VSCode 與 Cursor 擴充套件進行大規模入侵,植入名為「ZOMBI」的遠端存取木馬,並部署隱藏式 VNC 伺服器與 SOCKS 代理。據稱已竊取逾 50 萬組憑證,並波及多家知名大型企業。
立即應對:檢查版本、降版
受影響版本為 1.82.8。若系統已安裝此版本,應視所有憑證為遭洩漏狀態,立即輪換:
Karpathy:是時候重新審視依賴文化
Karpathy 藉此事件提出更深層的反思:傳統軟體工程將依賴套件視為「用磚塊蓋金字塔」的效率工具,但供應鏈攻擊讓這個假設越來越危險。他認為,應優先考慮使用 LLM「直接提取」(yoink)所需功能,而非引入整個外部套件——尤其是當功能足夠單純且可行的情況下。
此次事件也讓開發圈意識到,隨著 AI 代理自動執行
pip install
的場景日益普遍,人類審查這道防線正在快速消失,套件層級的防火牆已從「加分項」變為「基本需求」。
這篇文章 LiteLLM PyPI 供應鏈攻擊:每月 9,700 萬次下載的 AI 套件遭植入惡意程式,SSH 金鑰、API 憑證全數外洩 最早出現於 鏈新聞 ABMedia。
