9500 万次下载:你视如珍宝的AI工具,正亲手把你的“数字底裤”送给黑客!
每月9500万次下载,整整5小时的疯狂裸奔。
绝大多数受害者甚至从来没主动输入过pip install litellm。他们只是像往常一样安装了 CrewAI(多智能体编排)、DSPy(LLM编程框架)或者 Browser-Use(AI浏览器自动化)。然而,LiteLLM 就像一个隐形的“偷渡者”,作为这些工具的底层依赖,悄无声息地潜入了成千上万台电脑。
在软件世界里,这种“套娃式”的依赖关系司空见惯。你以为只装了一个工具,实际上它在后台偷偷拉取了几十个配套包。你看不见它们,更没授权过它们,但它们却在你的系统里拥有和你本人完全等同的最高权限。
杀人诛心:最信任的“保安”变成了“劫匪”
最令人胆寒的是,黑客并没有正面强攻 LiteLLM。他们玩了一招“围魏救赵”,污染了Trivy——这本是 LiteLLM 在 CI/CD 流水线中用来检测安全漏洞的扫描器。
这个原本为了保护代码而生的盾牌,竟被锻造成了刺向开发者的利剑。这就像你请锁匠来换锁,结果锁匠在换锁的过程中,顺手配了一把你的家门钥匙。
此次被投毒的恶意版本(1.82.7 和 1.82.8)疯狂收割了:
SSH密钥:那些能让你无需密码直接登录服务器的私人通行证。
AWS凭证与Kubernetes令牌:意味着黑客拿到了你亚马逊云设施和容器集群的最高控制权。
加密货币钱包与API密钥:你的数字资产以及软件与其他服务“接头”的所有暗号。
到了1.82.8版本,黑客甚至变本加厉:他们植入了一个.pth文件。这意味着什么?这意味着即便你没运行 LiteLLM,只要你启动 Python,这个间谍程序就会在后台自动苏醒。你的 IDE、测试程序、定时任务,统统变成了黑客的帮凶。
讽刺的是,足以预防这类惨剧的补丁早在2023年就问世了,但 LiteLLM 却一直对其视而不见。
9500万开发者,为何共用一把“命门钥匙”?
LiteLLM 的火爆源于所有 AI 团队的共同痛点:我们需要一个统一的接口来调用 OpenAI、Anthropic、Google 和 AWS 等上百家供应商。与其为每家写一套代码,不如只对接 LiteLLM。它是 AI API 的“万能转换插头”,一个插头,适配全球插座。
它到底有多大影响力? 每月 PyPI 下载量达 9500 万次,GitHub 摘星超过 4 万颗,甚至渗透进了全球36%的云环境。Adobe、Rocket Money 等巨头都对其青睐有加。
但真正的“爆炸半径”在于那些套壳它的框架:
CrewAI/DSPy/MLflow
Browser-Use/Mem0
Instructor/Guardrails
Agno/Camel-AI/Opik
如果你在用 Python 构建 AI 智能体,你几乎逃不掉 LiteLLM。由于它集中管理着所有 AI 供应商的 API 密钥,一旦它失守,整个组织的 AI 基础设施就相当于向黑客彻底敞开了大门。
疯狂的“TeamPCP”:一场预谋已久的连环劫掠
LiteLLM 的沦陷绝非偶然,而是犯罪团伙TeamPCP自2025年12月以来精心策划的“第09阶段”行动。这帮家伙不是什么技术宅,而是行动如风的职业罪犯。
3月19日:他们再次攻破了 Aqua Security 的 Trivy 扫描器,通过恶意 GitHub Action 窃取了 PyPI 的发布令牌。
3月20-23日:战线迅速扩张,从 npm 蠕虫到 VS Code 恶意插件,黑客四处出击。
3月24日:LiteLLM 触发了那条被污染的流水线。恶意代码在 UTC 时间 10:39 准时上线。
整整五个小时的暴露窗。按每天 340 万次的装机量计算,中招的开发者恐怕多达数十万。
BerriAI(LiteLLM 背后公司)首席执行官证实,由于他们在 CI/CD 流程中没对 Trivy 版本进行“锁死(Pinning)”,才给了黑客可乘之机。所有证据都指向同一个 RSA 公钥指纹——同一个锁匠,同一套作案工具。
34KB 的“隐形监听器”:让所有 Python 进程集体反水
如果说 1.82.7 版只是在代理服务器里下了毒,那么 1.82.8 版简直就是给整个系统装了“窃听器”。
这个不到 35KB 的litellm_init.pth文件利用了 Python 十几年前的一个合法特性。通常.pth是用来配置路径的,但只要以import开头,它就能在 Python 解释器启动时自动执行。
这就像在墙壁电线里装了麦克风,你只要一开灯,监听就开始了。
最离谱的是,这个漏洞被发现竟然是因为一个“Bug”:黑客的代码写得太暴力,导致在某些系统上触发了“进程炸弹”,把内存撑爆了。FutureSearch 的工程师 Callum McMahon 正是因为发现机器卡死,才顺藤摸瓜发现了这个惊天大瓜。
搬空家底:他们到底偷走了什么?
这不是普通的盗窃,这是一场彻头彻尾的“暴力洗劫”。
黑客的脚本像推土机一样扫过整个文件系统:从 SSH 私钥到.env环境文件,从云端配置到 Docker 仓库密码,甚至连你的 Shell 历史记录都不放过。
更狠的是,如果你在受感染的机器上拥有 Kubernetes 集群权限,黑客会部署一种名为node-setup的特权 Pod 到每一台服务器上。这种后门即便你删掉 LiteLLM,即便你重启机器,它依然像幽魂一样盘踞在你的系统深处。
为了戏耍研究人员,黑客甚至在后门接口里留了一个链接,指向那首著名的《Bad Apple!!》。这不仅是挑衅,更是规避沙箱检测的卑劣伎俩。在遭到举报后,黑客更是动用了 88 个机器人账号在 102 秒内刷屏,试图掩盖真相。
如果你中招了:请立即视为“全线崩盘”
如果你的环境里出现过那两个版本,请务必执行以下“清零”操作:
地毯式搜索:查找系统中的
litellm_init.pth、sysmon.py以及残留的kubectl异常 Pod。暴力重置:修改所有云凭证、SSH 密钥、数据库密码和 API Key。别心存侥幸。
锁定版本:退回到 v1.82.6 或经过验证的安全版本,千万别盲目更新到“最新版”。
原本 30 分钟就能阻止的悲剧
这场灾难的根源,竟然是一个长期有效的 PyPI API 令牌。黑客偷走了它,就拿到了 LiteLLM 的无限发布权。
如果 LiteLLM 使用了PyPI Trusted Publishers(一种基于 OIDC 的短期令牌技术),黑客偷到的令牌在 15 分钟内就会失效。到 2025 年底,已经有超过 5 万个项目采用了这项技术,但月活近亿的 LiteLLM 偏偏不在其中。
直到血淋淋的教训发生后,LiteLLM 才终于花 30 分钟完成了这项配置。
最后
这次攻击撕开了 AI 开发圈最后的遮羞布:我们太依赖这些便捷的工具,却从未审视过它们背后的风险。
安全扫描器不再安全:保护你的工具成了攻击你的跳板。
凭证过度集中:一个
.env文件装满全家老小的钥匙,简直是黑客的狂欢。依赖链条的盲区:你以为你在搞 AI 创新,其实你可能是在给跨国犯罪集团搬砖。
从 2024 年的 XZ Utils 后门到如今的 LiteLLM 投毒,供应链攻击已经从理论走进了现实。下一次,也许窗口期不再是 5 小时,而是 5 天;下一次,黑客的代码可能写得更优雅,直到把你的家产搬空,你的机器也不会报错卡顿一下。
自3月24日以来,你检查过自己的依赖树了吗?别让你的代码,成为亲手递给黑客的那把尖刀。
最后:
精通 React 面试:从零到中高级(针对面试回答)
CSS终极指南
Vue 设计模式实战指南
20个前端开发者必备的响应式布局
深入React:从基础到最佳实践完整攻略
python 技巧精讲
React Hook 深入浅出
CSS技巧与案例详解
vue2与vue3技巧合集
全栈AI·探索:涵盖动效、React Hooks、Vue 技巧、LLM 应用、Python 脚本等专栏,案例驱动实战学习,点击二维码了解更多详情。