3 月 24 日,AI 开源生态突发重大安全事件。知名 Python 库 litellm 在 PyPI 平台被植入恶意代码,构成一次典型的供应链攻击。攻击无需主动调用,只要安装该库即可触发,影响范围极广。
一、litellm 为何成为高价值目标
litellm 是一款统一调用多家大模型 API 的 Python 库,在 GitHub 拥有超过 4 万星标,每月下载量高达 9500 万次。目前已有超过 2000 个开源包将其列为依赖,包括 DSPy、MLflow、Open Interpreter 等主流 AI 工具链。
本次受影响版本为 1.82.8(UTC 时间 10:52 发布),其中包含名为 litellm_init.pth 的恶意文件。该文件会在每次 Python 进程启动时自动加载并执行。即使开发者从未手动 import litellm,只要项目间接依赖该库,就会立即中招。
二、恶意代码系统性窃取敏感凭证
恶意载荷会全面扫描并窃取主机敏感信息,包括 SSH 密钥、AWS/GCP/Azure 云凭证、Kubernetes 密钥、环境变量文件、数据库配置、加密货币钱包等。数据被加密打包后,发送至攻击者控制的域名。
若检测到 Kubernetes 环境,恶意代码还会利用服务账户令牌,在集群各节点自动部署特权 Pod,实现横向扩散,威胁进一步放大。这意味着一旦单个节点被攻陷,整个集群都可能面临风险。
三、攻击链溯源与紧急建议
根源直指 litellm 的 CI/CD 流程——其使用了 Trivy 漏洞扫描工具。而 Trivy 早在 3 月 19 日已被同一攻击组织 TeamPCP 攻陷。攻击者通过污染后的 Trivy 窃取 litellm PyPI 发布令牌,直接推送恶意版本。
知名 AI 专家 Andre Karpathy 指出,若非攻击者代码中的意外 fork bomb 导致内存耗尽暴露,该投毒可能潜伏数天甚至数周而不被察觉。这一事件再次敲响开源供应链安全的警钟。
AIbase 提醒所有 AI 开发者立即执行 pip show litellm 检查版本,最后一个安全版本为 1.82.6。若发现 1.82.7 或 1.82.8,视为所有凭证已泄露,立即全量轮换 SSH 密钥、云凭证、K8s 令牌等。
此次事件再次证明,在 AI 工具链高度依赖第三方库的今天,每一次依赖引入都需保持最高警惕。Karpathy 表示,未来将更倾向于让大模型直接生成简单功能代码,而非依赖第三方库。
