突发｜立即检查你的Python库！LiteLLM被投毒，Karpathy警告，马斯克关注

文章摘要

【关 键 词】 软件安全、供应链攻击、恶意代码、凭证泄露、风险防范

本次事件为一起严重的Python生态供应链攻击，核心载体是GitHub高星项目LiteLLM在PyPI上被投毒的版本1.82.7与1.82.8。该恶意包通过`pip install litellm`命令植入，可窃取用户主机上的多种敏感信息，包括SSH密钥、云平台凭证（AWS/GCP/Azure）、Kubernetes配置、Git凭证、环境变量（含API密钥）、shell历史记录、加密货币钱包、SSL私钥、CI/CD机密及数据库密码等。攻击流程分为信息搜刮、数据外传与横向移动三个阶段：第一阶段扫描本地敏感文件与云端元数据；第二阶段利用硬编码4096位RSA公钥与AES-256-CBC加密后，经POST请求发送至非官方域名`models.litellm.cloud`；第三阶段在Kubernetes环境渗透节点并植入持久化后门，同时于宿主机设置`sysmon.py`脚本和systemd服务实现长期驻留。

事件发现源于攻击代码自身的逻辑缺陷——恶意`.pth`启动器触发子进程无限递归，造成内存爆炸式崩溃，进而暴露异常行为。开发人员Callum McMahon在Cursor插件测试中识别该问题，而Karpathy强调此类漏洞可能长期潜伏，若攻击者能力更强则数周内或无人察觉。此次攻击本质绕过所有常规审查环节：攻击者使用被盗PyPI发布令牌直接上传病毒包，官方仓库未出现对应commit或tag，源码层面完全洁净。

多位技术专家对此高度关注：马斯克以“Caveat emptor”提醒用户风险承担；英伟达Jim Fan指出身份盗用已远超以往威胁程度，凭证泄露极易引发连锁污染；Karpathy倡导简化需求后由自身实现功能模块，而非过度依赖外部库。业内亦反思当前安全机制失效原因——主流工具链缺乏对依赖传递路径与第三方行为的深度验证。

安全处置建议方面，应立即核查版本号（如`pip show litellm`）、清除uv缓存（如`rm -rf ~/.cache/uv`）、排查`sysmon.py`与systemd服务痕迹、特别关注K8s命名空间下异常Pod（如`node-setup-*`）及集群秘钥访问日志。最关键的应对动作是全部凭证轮换，包括SSH密钥、云平台凭证、K8s配置与.env文件中的API密钥，因为系统已确认所有相关凭证均存在泄露可能。 长期防御策略则推荐三步法：从可信源获取原始包快照、借力LLM辅助审计其源码、最终将合规代码嵌入自有项目中规避后续风险。

原文和模型

【原文链接】 阅读原文 [ 1927字 | 8分钟 ]
【原文作者】 机器之心
【摘要模型】 qwen3-vl-flash-2026-01-22
【摘要评分】 ★★★☆☆

阿里云百炼

大模型服务平台是阿里云基于通义大模型等多种大模型的一站式大模型开发平台。