Karpathy 紧急示警！AI 开发者常用库 litellm 遭供应链投毒，大量凭证恐已外泄

3月24日，开源 AI 生态爆出重大安全事故。知名 Python 库 litellm 在 PyPI 被植入恶意代码，构成一次典型的供应链攻击。无需显式调用，只要安装就会触发，波及面极其广泛。

事件要点：litellm 被塞入可自动执行的后门

受影响的版本为 1.82.8（UTC 10:52 发布），其中新增了名为 litellm_init.pth 的恶意文件。该文件会在每次 Python 进程启动时自动加载并运行。即便开发者没有手动 import litellm，只要项目中有间接依赖，就会被波及。紧随其后的 1.82.7（UTC 10:39 发布）同样已遭污染。

为什么 litellm 会成为重点攻击对象？

litellm 是一个统一封装多家大模型 API 的 Python 库，GitHub Star 超过 4 万，每月下载量约 9500 万次。已有 2000+ 开源项目将其纳入依赖，例如 DSPy、MLflow、Open Interpreter 等主流 AI 工具链。大量开发者可能并未主动安装，却已经在不知情的情况下引入了风险。

恶意行为：有组织地窃取敏感凭证

恶意载荷会全面搜集并窃取主机上的敏感数据，包括：

• SSH 密钥
• AWS/GCP/Azure 云凭证
• Kubernetes 密钥
• 环境变量文件
• 数据库配置
• 加密货币钱包

数据会被加密打包后，回传至攻击者控制的域名。一旦识别到 Kubernetes 环境，恶意代码还会滥用服务账户令牌，在集群各节点自动拉起特权 Pod，实现横向扩散，进一步放大危害。

暴露过程颇具讽刺：攻击者的“bug”让其自曝

事件被发现源于一次意外触发的 fork bomb。研究者在 Cursor 编辑器中使用 MCP 插件时，由于该插件间接依赖 litellm，恶意 .pth 会在 Python 子进程中反复执行，迅速耗尽内存。这次“自爆”使问题被快速定位。AI 专家 Andre Karpathy 指出，若非攻击者代码的这一失误，此次投毒可能潜伏数天甚至数周都不被察觉。

溯源：从 Trivy 被入侵引发的连锁反应

问题根源指向 litellm 的 CI/CD 流程——其使用了 Trivy 漏洞扫描工具。Trivy 在 3 月 19 日已遭同一组织 TeamPCP 入侵。攻击者利用被污染的 Trivy 窃取了 litellm 的 PyPI 发布令牌，从而直接推送了恶意版本。在此之前的 3 月 23 日，Checkmarx KICS 也被该组织攻破。安全研究员 Gal Nagli 评价称：开源供应链出现了连锁塌陷，Trivy 被攻破直接牵连 litellm，导致大量生产环境凭证落入对方手中，并可能成为后续攻击的新“弹药”。

攻击者试图“灭火”但未成功

GitHub 上出现首批问题报告后，攻击者在 102 秒内动用 73 个被盗账号刷出 88 条垃圾评论，意图冲淡讨论，随后又借被盗维护者权限强行关闭 issue。社区很快转移到 Hacker News 等平台继续跟进。

专家看法：供应链攻击隐蔽且可怕

Karpathy 借此再次提醒依赖风险：“每多引入一个外部包，就可能在依赖树深处埋下一个被投毒的定时炸弹。”他表示，今后更倾向于让大模型直接生成简单功能代码，而不是依赖第三方库。

紧急处置建议

请所有 AI 开发者立即核查与处置：

1. 立刻执行 pip show litellm 检查版本，当前最后一个安全版本为 1.82.6；
2. 如发现 1.82.7 或 1.82.8，需默认所有凭证均已泄露，立即全量轮换 SSH 密钥、云凭证、K8s 令牌等；
3. 清理受影响环境，重建容器或虚拟机，并加强供应链审计与监控。

此次事件再次敲响了开源供应链安全的警钟。在当今高度依赖第三方库的 AI 工具链中，每一次引入依赖都必须保持最高警惕。