2026 年 3 月 24 日,Python AI 生态核心基础组件 LiteLLM 遭遇 PyPI 供应链投毒,众多开发者照常执行pip install litellm,却不知安装的并非普通开源依赖,而是一把可直插云环境、K8s 集群、CI/CD 流水线、SSH 密钥库乃至数据库的 “万能钥匙”。
Python AI 作为月下载量超 9500 万、单日下载量达 3408615 次的 AI 基础设施 “总线层” 组件,此次投毒事件并非孤立的开源包挂马,而是针对 AI 生态的高成熟度供应链攻击,更是给所有企业敲响了数据安全与开源依赖治理的警钟。
一、为何 LiteLLM 投毒,杀伤力远超普通开源包?
面对开源包投毒,很多人的第一反应是 “卸载重装即可”,但 LiteLLM 的特殊行业定位,让此次投毒的杀伤力呈指数级放大 —— 它并非边缘工具库,而是大量 AI 应用生产环境中接入多模型、多供应商、多网关策略的统一入口,能将 OpenAI、Anthropic、Google 等各类模型接口抽象为统一 API,是很多 AI 系统中 “所有密钥都会经过” 的核心位置。
这意味着,LiteLLM 被投毒后,攻击者接触的不是普通机器,而是存放着云平台 API 密钥、数据库配置、CI/CD token 的高价值环境,包括企业内部 Agent 执行环境、连接内部知识库的自动化服务、带 K8s service account token 的容器节点等。攻击者无需逐个黑进企业,只需污染这个全行业高度信任的基础依赖,就能让企业主动将后门带回生产环境,利用 “软件信任” 实现规模化攻击,这也是供应链攻击远比普通漏洞更具威胁的核心原因。
二、深度拆解:LiteLLM 供应链投毒的核心作案手法
此次 LiteLLM 投毒事件的核心作案手法,突破了传统开源包恶意代码注入的常规模式,且两个恶意版本的攻击方式层层升级,更具隐蔽性,官方已确认安全版本回退至 1.82.6,且恶意代码仅存在于 PyPI 发布物中,上游 GitHub 仓库无异常,大概率是发布链路被劫持、维护者凭证被盗所致。
1.82.7 版本
导入即触发:恶意代码以 base64 编码载荷隐藏在litellm/proxy/proxy_server.py中,模块被导入时即刻执行,企业只要运行相关模块或项目启动时导入该逻辑,就会直接中招;
1.82.8 版本
安装即种下 “定时炸弹”:新增litellm_init.pth文件,利用 Python 解释器启动时自动处理.pth文件的机制,实现无需手动 import,只要 Python 进程启动,恶意逻辑就可执行,从 “运行时中招” 升级为 “安装后整个 Python 环境被劫持”,直接踩穿了 Python 运行时的信任模型。
三、全域凭证窃取,直指企业数字基础设施控制权
本次攻击最核心的威胁,在于其窃取目标的全域覆盖性与高价值性。据 BleepingComputer、Endor Labs、OX Security 等机构公开分析,恶意 payload 构建了完整的敏感资产采集体系,覆盖企业全链路核心凭证,包括但不限于:
SSH 密钥与配置文件
AWS / GCP / Azure 云凭证
Kubernetes token 与集群 secrets
.env 及其变体文件
数据库凭证和配置
TLS 私钥
CI/CD secrets
加密货币钱包相关数据
机器环境信息,如 hostname、whoami、uname -a、printenv 等侦察信息 (BleepingComputer)
很多人将这类窃密攻击误解为 “偷账号”,但在云原生与 AI 工程体系中,攻击者实际夺取的是整家公司数字基础设施的控制权:窃取云厂商凭证可直接读写存储、调度算力、遍历密钥;窃取 K8s Secret 能接管集群服务与通信;泄露.env文件等同于暴露创业公司核心密钥(支付、数据库、模型 API、第三方 SaaS 等);盗取 CI/CD Token 则会污染构建与发布流程,实现持久化入侵。本质上,这并非顺手牵羊,而是工业化批量窃取开发、云、容器与自动化流程中的高价值凭证。
四、这不是单点木马,而是一条完整的攻击链
此次 LiteLLM 投毒事件之所以让整个开源生态紧张,并非单案所致,而是该事件与攻击组织TeamPCP的连续供应链作案链高度关联,该组织此前已参与 Trivy、Checkmarx/KICS 等开源工具的供应链攻击,LiteLLM 官方也确认此次事件与 Trivy 安全扫描依赖相关,且已完成所有维护者账号轮换。
这意味着,攻击者并非专门盯上 LiteLLM,而是将目标对准了开源生态上游的构建与发布链路:先攻陷高信任度的安全扫描器、CI/CD 工具等上游组件,再借助下游项目的自动化流程和发布凭证实现风险扩散,最终将感染面从一个工具扩展到整个生态链。
现代软件生态是相互嵌套的 “依赖森林”,一个安全扫描器连接 GitHub Action,一个 Action 连接项目发布流水线,一个流水线连接 PyPI 等仓库,一个基础库又连接数十万开发机和服务器,攻击者真正攻击的,是现代软件工业的 “复用与自动化结构本身”。
五、供应链攻击已从个案升级为生态连锁风险
LiteLLM 事件虽性质恶劣,但若仅为孤立案例,尚不足以令整个开源生态高度紧张。真正令人警惕的是,它并非个案,而是同一攻击组织的系列行动。BleepingComputer、Snyk、The Hacker News、Endor Labs 等多家机构均证实,此次事件与 TeamPCP 组织相关,该组织此前已牵涉 Trivy、Checkmarx/KICS 等多起供应链攻击。LiteLLM 官方 issue 也明确指出,本次入侵与 Trivy 安全扫描依赖有关,且已全部轮换维护者账号。
这表明攻击者目标并非 LiteLLM 本身,而是上游更广泛的构建与发布链路。其典型模式是:先攻陷高可信工具或 CI/CD 环节,再借助下游项目的自动化流程与发布凭证扩散,将单点感染放大至整个生态链。
如今软件早已不是独立项目,而是高度嵌套的依赖森林:安全扫描器关联 GitHub Action,Action 关联发布流水线,流水线关联 PyPI/NPM/ 镜像仓库,基础库又关联数十万开发与生产环境。攻击者真正瞄准的,是现代软件工业的复用与自动化体系本身。当效率高度依赖默认信任的自动安装、更新与发布,供应链攻击便获得了极强的扩散杠杆。
六、从密钥暴增到权限失守,AI 供应链的底层安全危机
2018 年发生此类事件已属严重,放到 2026 年则危害倍增,核心原因是当下软件环境,尤其涉及到 AI 领域,的密钥密度呈爆炸式增长。过去普通 Web 服务仅需少量密钥,而如今一个 AI Agent 项目会同时集成多类模型密钥、向量库凭证、各类 SaaS 权限、云平台令牌、内部工具接口等大量敏感配置,相当于承载了一整套可编程的组织权限能力。
这正是 LiteLLM 事件的标志性意义:攻击者已意识到,AI 基础设施是高密度凭证、高权限自动化、高价值数据入口的集合体。一旦 AI 基础库遭遇供应链污染,攻击者获取的不只是本地 SSH 密钥,还可能渗透企业内网、控制审批与发布流程、窃取模型预算与客户数据,甚至直接接管 Agent 工具调用权限。
因此,LiteLLM 事件绝非单一安全事故,而是明确信号:Agent 安全已进入默认高危阶段。未来 AI 安全不能只聚焦提示注入、越权、幻觉等表层问题,更要直面底层风险:Agent 所依赖的组件、构建方、发布权限,是否早已被污染的工具链波及?
七、事件警醒:警惕pth机制无感中毒
此次事件中,1.82.8 版本的.pth文件机制,堪称 “无感中毒” 的教科书式演示,也打破了企业对开源依赖防护的传统认知 —— 很多企业认为 “只要不执行、不 import,被污染的开源包就无风险”,但.pth机制让恶意代码的执行脱离了业务代码调用的约束。
.pth文件的可怕之处,在于其触发的前置性与隐蔽性:
触发无差别:无需业务代码显式引用,任何启动 Python 的脚本、测试、构建步骤、自动化任务,都可能触发恶意逻辑;
审计难发现:传统代码审计仅关注业务代码中的显式导入,而.pth的恶意行为发生在业务逻辑执行之前,极易被忽略;
感染范围广:在共享 Python 环境、CI Runner、镜像构建节点等场景中,只要安装过该版本,后续所有 Python 进程都可能被污染。
这也让行业意识到:安装被污染的依赖本身,就已经足够危险,开源依赖的安全防护,必须从 “运行时检测” 前移至 “安装前审计 + 全生命周期监控”。
八、LiteLLM 事件紧急处置措施
如果企业的开发环境、生产环境、CI/CD 流水线等任何场景使用过 LiteLLM,需要拉群执行、即刻落地的紧急处置措施,保旺达结合行业安全实践,对每一步操作做落地化补充:
第一步:全场景排查恶意版本
通过pip show litellm、pip freeze | grep litellm命令,排查是否安装 1.82.7、1.82.8 版本,不仅要查线上服务,更要覆盖开发者本地环境、CI/CD runner、构建镜像节点、数据科学笔记本、K8s 节点、自动化脚本运行机等所有含 Python 运行时的环境;
第二步:立即回退至安全版本
执行pip install litellm==1.82.6重装安全版本,同时对所有依赖 LiteLLM 的项目进行版本锁定,避免自动拉取最新版本;
第三步:全面排查持久化攻击痕迹
重点检查~/.config/sysmon/sysmon.py、/tmp/pglog、/tmp/.pg_state等文件,排查是否存在伪装成 “System Telemetry Service” 的 systemd 用户服务,同时检查未知自启动项、隐藏目录及到checkmarx.zone、models.litellm[.]cloud的可疑出站连接;
第四步:深度审计 K8s 集群安全
若 AI 服务运行在 K8s 环境,重点审查kube-system命名空间中的未授权 Pod/daemonSet/Job,排查高权限 service account 异常使用、节点层面可疑容器、镜像拉取源及执行命令异常,阻断横向移动风险;
第五步:全量轮换敏感凭证
这是最核心的一步,立即轮换所有敏感资产凭证,包括 SSH 密钥、云平台(AWS/GCP/Azure)凭证、K8s secrets、.env 文件中所有变量、数据库密码、TLS 私钥、CI/CD token、第三方 SaaS API 密钥等,做到 “无一遗漏”;
第六步:复盘依赖引入链路
查清 LiteLLM 是直接安装还是通过上层依赖间接引入,检查是否存在>=无上限版本约束,梳理哪些 CI 任务会自动拉取最新依赖、哪些镜像构建未锁定哈希,从源头切断恶意依赖的引入路径;
第七步:隔离受污染环境
对确认安装过恶意版本的开发机、服务器、容器节点进行网络隔离,避免其继续与企业内网核心资产通信,防止风险进一步扩散;
第八步:开展全环境安全扫描
利用企业级安全扫描工具,对所有生产环境、开发环境进行全面的恶意代码扫描与漏洞检测,排查是否存在其他未知的攻击痕迹与安全隐患。
九、LiteLLM 事件启示
LiteLLM 供应链投毒事件,不仅是一次单一的安全事故,在此次事件中我们要吸取的是三层认知升级:
开源依赖不是代码,而是组织治理
很多团队仍将依赖安全视为工程师个人事务,但核心依赖投毒的影响已远超研发细节 —— 直接关联客户数据安全、云资源、模型预算、发布链完整性、合规风险及品牌融资,是 CEO/CTO/CISO/ 平台负责人需共同面对的企业级问题。
热门开源反而是高价值攻击目标
LiteLLM 月下载量超 9500 万、单日超 340 万,庞大用户基数意味着更高攻击 ROI,一旦被攻破,可实现规模化风险扩散。
Agent 时代最危险的资产是权限
很多 AI 公司聚焦模型能力、推理成本等核心竞争力,却忽视了决定企业生死的安全基建 —— 凭证管理、依赖锁定、发布审批、权限管控、安全审计等基础环节,才是 AI 公司真正的生死线。
LiteLLM 投毒事件并非 “开源生态的黑天鹅”,而是现代软件工业 “自动化、复用化、云原生” 发展的必然结果 —— 当一行pip install能直通企业的云环境、集群、数据库和自动化系统,这行命令的背后,是企业对开源生态、发布链路、依赖组件的层层信任。
但信任不等于放任,开源生态的高效复用,需要 “信任 + 验证” 的双重安全体系作为支撑,这也是保旺达多年来为企业提供数据安全服务的核心思路:
开源是数字经济与 AI 产业发展的核心动力,企业无需因噎废食,但必须建立与开源生态相匹配的安全防护能力。在数据安全与开源依赖风险交织的时代,唯有将安全理念融入技术研发、基础设施建设、企业管理的每一个环节,才能在享受开源效率的同时,守住企业数据安全与业务发展的信任底线。
附:LiteLLM 投毒事件核心速查清单
已确认受影响版本
litellm==1.82.7
litellm==1.82.8
当前公开安全版本
litellm==1.82.6
核心排查命令
重点排查 IOC / 持久化痕迹
可疑文件:~/.config/sysmon/sysmon.py、/tmp/pglog、/tmp/.pg_state
可疑服务:伪装成 “System Telemetry Service” 的 systemd 用户服务
可疑域名:checkmarx.zone、models.litellm[.]cloud
必须全量轮换的敏感资产
SSH 密钥、
云平台凭证、
Kubernetes secrets、
.env 内所有密钥、
数据库密码、
TLS 私钥、
CI/CD tokens、
第三方 SaaS API keys
本文核心内容来源于象信AI公众号
