AI 开发圈在 3 月 24 日发生一起重大资安事件。广泛用于串接各大 LLM 的 Python 套件 LiteLLM,其 1.82.8 版本遭到恶意植入,仅需执行
pip install litellm
,就可能造成 SSH 密钥、AWS/GCP/Azure 凭证、Kubernetes 设置、Git 认证、环境变量(所有 API 密钥)、Shell 历史、加密货币钱包、SSL 私钥、CI/CD 机密、数据库密码等一次性外泄至远端服务器。
传染范围:任何依赖 LiteLLM 的项目都受影响
LiteLLM 每月下载量达 9,700 万次,本身规模已相当庞大。更严峻的是,供应链攻击的本质让伤害范围远超直接用户——任何依赖 LiteLLM 的套件都可能受到波及。例如
pip install dspy
(依赖 litellm>=1.64.0)同样会中标,其他大型项目亦然。
根据 Andrej Karpathy 在 X 的分析,恶意版本上线时间不到一小时,之所以迅速被发现,纯属意外:开发者 Callum McMahon 在 Cursor 中使用了一个 MCP 插件,该插件将 LiteLLM 作为传递依赖(transitive dependency)引入。安装 1.82.8 时,电脑直接耗尽内存当机。若非攻击者的代码有 bug,这次攻击可能在无人察觉的情况下持续数周。
LiteLLM CEO 账号疑遭入侵,属更大规模攻击活动
安全研究人员指出,LiteLLM 的 GitHub 与 PyPI 账号疑似遭到入侵,且此事件并非孤立事件——同一攻击行动(TeamPCP)同步对 VSCode 与 Cursor 扩充套件进行大规模入侵,植入名为「ZOMBI」的远端存取木马,并部署隐藏式 VNC 服务器与 SOCKS 代理。据称已窃取逾 50 万组凭证,并波及多家知名大型企业。
立即应对:检查版本、降版
受影响版本为 1.82.8。若系统已安装此版本,应视所有凭证为遭泄漏状态,立即轮换:
Karpathy:是时候重新审视依赖文化
Karpathy 借此事件提出更深层的反思:传统软件工程将依赖套件视为「用砖块盖金字塔」的效率工具,但供应链攻击让这个假设越来越危险。他认为,应优先考虑使用 LLM「直接提取」(yoink)所需功能,而非引入整个外部套件——尤其是当功能足够单纯且可行的情况下。
此次事件也让开发圈意识到,随着 AI 代理自动执行
pip install
的场景日益普遍,人类审查这道防线正在快速消失,套件层级的防火墙已从「加分项」变为「基本需求」。
这篇文章 LiteLLM PyPI 供应链攻击:每月 9,700 万次下载的 AI 套件遭植入恶意程序,SSH 密钥、API 凭证全数外泄 最早出现在 链新闻 ABMedia。
