AI 開發者圈內炸開了鍋,著名 AI 科學家 Andrej Karpathy 親自發帖“預警”,揭露了一場針對 AI 供應鏈的精準投毒攻擊。受害者正是 GitHub 超過4萬星、每月下載量接近1億次的 Python 庫——litellm。由於該庫是調用各大模型 API 的“萬能鑰匙”,此次事件的影響力正如同多米諾骨牌般向整個 AI 工具鏈擴散。

image.png

裝上就中招:惡意代碼的“隱形”滲透

這次攻擊最陰毒的地方在於其觸發機制。攻擊者在litellm的 PyPI 版本(1.82.7和1.82.8)中植入了一個惡意的 .pth 文件。

  • 無需調用,即刻執行: 只要你通過 pip install 安裝了這兩個版本,惡意代碼就會在每次 Python 進程啓動時自動運行。即便你只是裝了它,卻一行代碼都沒寫,你的系統也已經向黑客敞開了大門。

  • 全家桶式竊密: 惡意代碼會瘋狂搜刮主機上的敏感資產,包括 SSH 密鑰、AWS/GCP 雲憑證、Kubernetes 密鑰、加密貨幣錢包以及所有的環境變量(即你的各類大模型 API Key),並加密發送至攻擊者的服務器。

戲劇性反轉:攻擊者被自己的“Bug”出賣

這場本來可能潛伏數週的完美犯罪,竟然毀於黑客的一個低級錯誤。一位開發者在 Cursor 編輯器中使用插件時,發現機器內存瞬間被撐爆。

原來,惡意代碼在觸發時產生了指數級的進程分叉(Fork Bomb)。正是因爲這個導致系統崩潰的 Bug,才讓安全研究員順藤摸瓜發現了投毒行徑。Karpathy 感嘆道,如果不是黑客代碼寫得太爛,這場大規模洗劫可能至今仍無人察覺。

連鎖反應:安全工具竟成“遞刀人”

溯源發現,這次攻擊源於一系列供應鏈崩塌:攻擊者 TeamPCP 先是攻陷了漏洞掃描工具 Trivy,盜取了litellm的發佈令牌,隨後繞過代碼審查直接在 PyPI 上傳了毒包。

目前,包括 DSPy、MLflow、Open Interpreter 在內的2000多個常用 AI 工具都間接依賴該庫。安全專家建議:立即運行 pip show litellm 檢查,若版本高於1.82.6,請務必將其視爲“全盤泄露”並立刻更換所有敏感憑證。