据 1M AI News 监测,OpenAI 创始成员 Andrej Karpathy 发帖称 AI 代理开发工具 LiteLLM 遭遇的供应链攻击是「现代软件中基本上最恐怖的事」。LiteLLM 月下载量 9700 万次,v1.82.7 和 v1.82.8 两个中毒版本已从 PyPI 下架。
仅一句 pip install litellm 就足以窃取机器上的 SSH 密钥、AWS/GCP/Azure 云凭证、Kubernetes 配置、git 凭证、环境变量(含所有 API 密钥)、shell 历史记录、加密钱包、SSL 私钥、CI/CD 密钥和数据库密码。恶意代码通过 4096 位 RSA 加密打包数据外传至伪装域名 models.litellm.cloud,还会尝试在 Kubernetes 集群的 kube-system 命名空间中创建特权容器植入持久后门。
更危险的是传染性:任何依赖 LiteLLM 的项目都会连带中招,例如 pip install dspy(依赖 litellm>=1.64.0)同样会触发恶意代码。中毒版本在 PyPI 上仅存活约 1 小时便被发现,原因颇为讽刺:攻击者自己的恶意代码有个 bug,导致内存耗尽崩溃。开发者 Callum McMahon 在 AI 编程工具 Cursor 中使用一个 MCP 插件时,LiteLLM 作为传递依赖被拉入,安装后机器直接崩溃,由此暴露了攻击。Karpathy 评论称:「如果攻击者没有 vibe code 这次攻击,它可能数天甚至数周都不会被发现。」
攻击组织 TeamPCP 于 2 月底利用 LiteLLM 的 CI/CD 管道中 Trivy 漏洞扫描器在 GitHub Actions 中的配置缺陷入侵,窃取了 PyPI 发布令牌,随后绕过 GitHub 直接向 PyPI 上传恶意版本。LiteLLM 维护方 Berri AI CEO Krrish Dholakia 表示已删除所有发布令牌,计划转向基于 JWT 的可信发布机制。PyPA 发布安全通告 PYSEC-2026-2,建议所有安装过受影响版本的用户假设环境中所有凭证已泄露,应立即轮换。
