3月24日,AI 開源生態突發重大安全事件。知名 Python 庫 litellm 在 PyPI 平臺被植入惡意代碼,構成一次典型的供應鏈攻擊。攻擊無需主動調用,只要安裝該庫即可觸發,影響範圍極廣。

事件核心:litellm 被植入自動執行後門

本次受影響版本爲1.82.8(UTC 時間10:52發佈),其中包含名爲litellm_init.pth的惡意文件。該文件會在每次 Python 進程啓動時自動加載並執行。即使開發者從未手動 import litellm,只要項目間接依賴該庫,就會立即中招。緊隨其後的1.82.7版本(UTC10:39發佈)同樣被污染。

image.png

litellm 爲何成爲高價值目標?

litellm 是一款統一調用多家大模型 API 的 Python 庫,在 GitHub 擁有超過4萬星標,每月下載量高達9500萬次。目前已有超過2000個開源包將其列爲依賴,包括 DSPy、MLflow、Open Interpreter 等主流 AI 工具鏈。大量開發者可能從未主動安裝,卻已在不知情中引入這一風險點。

惡意代碼行爲:系統性竊取敏感憑證

惡意載荷會全面掃描並竊取主機敏感信息,包括:

  • SSH 密鑰
  • AWS/GCP/Azure 雲憑證
  • Kubernetes 密鑰
  • 環境變量文件
  • 數據庫配置
  • 加密貨幣錢包

數據被加密打包後,發送至攻擊者控制的域名。若檢測到 Kubernetes 環境,惡意代碼還會利用服務賬戶令牌,在集羣各節點自動部署特權 Pod,實現橫向擴散,威脅進一步放大。

發現過程極具諷刺:攻擊者“bug”自曝

攻擊暴露源於一個意外的 fork bomb。研究者在 Cursor 編輯器中使用 MCP 插件時,因插件間接依賴 litellm,惡意.pth 文件在 Python 子進程中反覆觸發,導致內存瞬間耗盡。這一“自爆”讓事件迅速曝光。知名 AI 專家 Andre Karpathy 指出,若非攻擊者代碼中的這一疏忽,該投毒可能潛伏數天甚至數週而不被察覺。

攻擊鏈溯源:Trivy 成供應鏈崩塌起點

根源直指 litellm 的 CI/CD 流程——其使用了 Trivy 漏洞掃描工具。而 Trivy 早在3月19日已被同一攻擊組織 TeamPCP 攻陷。攻擊者通過污染後的 Trivy 竊取 litellm PyPI 發佈令牌,直接推送惡意版本。此前3月23日,Checkmarx KICS 也遭同一組織攻擊。安全研究員 Gal Nagli 評價稱:開源供應鏈已形成連鎖崩塌,Trivy 被攻破直接導致 litellm 淪陷,數萬個生產環境的憑證落入攻擊者手中,並將成爲後續攻擊的新彈藥。

攻擊者“滅口”行動失敗

GitHub 上首批 issue 報告出現後,攻擊者在102秒內動用73個被盜賬號發佈88條垃圾評論,試圖淹沒討論,隨後利用被盜維護者權限強行關閉 issue。社區迅速轉移討論至 Hacker News 平臺,繼續追蹤事件。

專家觀點:供應鏈攻擊是最可怕的隱形威脅

Karpathy 藉此事件再次強調軟件依賴風險:“每次引入一個外部包,都可能在依賴樹深處埋下被投毒的定時炸彈。”他表示,未來將更傾向於讓大模型直接生成簡單功能代碼,而非依賴第三方庫。

緊急安全建議

AIbase 提醒所有 AI 開發者:

  1. 立即執行pip show litellm檢查版本,最後一個安全版本爲1.82.6;
  2. 若發現1.82.7或1.82.8,視爲所有憑證已泄露,立即全量輪換 SSH 密鑰、雲憑證、K8s 令牌等;
  3. 清理受影響環境,重建容器或虛擬機,並加強供應鏈審計。

此次事件再次敲響開源供應鏈安全的警鐘。在 AI 工具鏈高度依賴第三方庫的今天,每一次依賴引入都需保持最高警惕。