LiteLLM 遭供应链攻击——月下载量 9500 万的 AI 基础设施被投毒
LiteLLM 是最常用的 LLM 交互 Python 库之一,拥有超过 4 万 GitHub 星标和 9500 万月 PyPI 下载量。2026 年 3 月 24 日,1.82.7 和 1.82.8 版本被推送至 PyPI,其中包含一个恶意 .pth 文件,该文件在每个 Python 进程启动时自动执行——无需 import 即可触发。
攻击者为 TeamPCP 组织,此前已对 Aqua Security 的 Trivy 漏洞扫描器(3月19日)和 Checkmarx 的 KICS GitHub Action(3月23日)发起供应链攻击。有效载荷包括通过 AES-256/RSA-4096 加密向 C2 服务器外传凭证的大规模窃取器、注册为 systemd 服务的持久化后门,以及可向每个节点部署特权 Pod 的 Kubernetes 横向移动能力。
此事件对智能体生态影响重大,因为 LiteLLM 是大量 AI 智能体框架、MCP 服务器和 LLM 编排工具的传递性依赖。即使开发者从未直接安装 LiteLLM,也可能因其他包的依赖而被引入。该消息在 Hacker News 上数小时内获得 317 分。
构建 AI 智能体基础设施的团队应立即审计依赖关系并锁定到已知安全版本。此事件凸显了 AI 智能体工具链日益互联带来的攻击面扩大问题。
GitHub 公告:https://github.com/BerriAI/litellm/issues/9602
← 返回所有文章
攻击者为 TeamPCP 组织,此前已对 Aqua Security 的 Trivy 漏洞扫描器(3月19日)和 Checkmarx 的 KICS GitHub Action(3月23日)发起供应链攻击。有效载荷包括通过 AES-256/RSA-4096 加密向 C2 服务器外传凭证的大规模窃取器、注册为 systemd 服务的持久化后门,以及可向每个节点部署特权 Pod 的 Kubernetes 横向移动能力。
此事件对智能体生态影响重大,因为 LiteLLM 是大量 AI 智能体框架、MCP 服务器和 LLM 编排工具的传递性依赖。即使开发者从未直接安装 LiteLLM,也可能因其他包的依赖而被引入。该消息在 Hacker News 上数小时内获得 317 分。
构建 AI 智能体基础设施的团队应立即审计依赖关系并锁定到已知安全版本。此事件凸显了 AI 智能体工具链日益互联带来的攻击面扩大问题。
GitHub 公告:https://github.com/BerriAI/litellm/issues/9602
评论