# OpenAI 创始成员Andre Karpathy震惊披露:LiteLLM供应链攻击危机
据[1M AI News](https://t.me/OneMillion_AI)最新监测,人工智能开发工具LiteLLM正面临前所未有的安全威胁。OpenAI联合创始成员Andreja Karpathy在社交媒体上发声:这次的供应链攻击几乎是现代软件中最严重的事件之一。
## 恶意攻击影响深远
LiteLLM的月下载量高达9700万次,然而,版本v1.82.7和v1.82.8中的两个被篡改的版本已被从PyPI平台迅速删除。这次事件的危害令人震惊:
– 只需运行命令 `pip install litellm` 就可能被植入恶意代码
– 攻击者能够窃取:
– SSH私钥
– AWS、GCP、Azure云凭证
– Kubernetes配置
– Git凭证
– 各类环境变量(包括API密钥)
– Shell历史
– 加密钱包
– SSL私钥
– CI/CD密钥
– 数据库密码
## 恶意代码的窃取与隐秘传输
被植入的恶意程序采用4096位RSA加密,将数据偷偷传输到伪装的域名`models.litellm.cloud`,同时还在Kubernetes集群的`kube-system`命名空间中尝试创建特权容器,植入持久后门,威胁极度严重。
## 高传染性与链式风险
更令人担忧的是这种感染的扩散性:任何依赖LiteLLM的项目都可能被波及。例如,运行`pip install dspy`(要求liteLLM≥1.64.0)时,仍会触发恶意代码。
令人气馁的是,受影响版本在PyPI平台上线不到一小时即被发现,原因令人哭笑不得:攻击者自身的恶意代码中存在bug,导致内存耗尽崩溃。这一漏洞在开发者Callum McMahon使用Cursor AI工具带有的MCP插件时被触发,LiteLLM作为依赖被引入后,机器直接崩溃,暴露了攻击痕迹。
Karpathy评论道:“如果攻击者没有Vibe Code的支持,这次攻击可能要数天甚至数周才能被发现。”
## 攻击背后:团队利用CI/CD漏洞入侵
攻击组织TeamPCP在2月底动用了LiteLLM的CI/CD流程中的Trivy漏洞扫描器,通过配置缺陷在GitHub Actions中入侵,并窃取了PyPI的发布令牌。随后,他们绕过安全措施,在PyPI平台直接上传恶意版本。
## 维护方的应对与未来展望
LiteLLM的开发团队——Berri AI的CEO Krrish Dholakia已迅速采取行动,删除所有泄露的发布令牌,并计划引入基于JWT(JSON Web Token)的可信发布机制以增强安全。
## 安全警示
PyPA已发布安全通告PYSEC-2026-2,建议所有曾安装受影响版本的用户:
> **立即假设所有环境凭证已泄露,迅速进行凭证轮换和安全检查。**
此次事件揭示了供应链安全的脆弱性,也提醒开发者与企业:在追求创新与便捷的同时,安全保障同样不能忽视。未来,构建更抗攻击的开发环境刻不容缓。
原创文章,作者:admin,如若转载,请注明出处:https://www.23btc.com/162931/
