喔去，litellm 竟然被投毒了，赶紧检查你的机器中招了没有

有点恐怖，搞 Agent 开发的同学恐怕都用过这玩意儿，赶紧看看你开发的软件是不是中招了！
今天这个事真的是又吓人又离谱，堪称开源圈教科书级的供应链投毒，搞不好你电脑 / 服务器已经中招了都不知道！

litellm 是著名的大模型 api 集成工具，
说白了就是个能统一调各家大模型 API 的神器，不用你挨个适配不同厂商的接口，巨方便。它有多火？GitHub 上 4 万多星，一个月下载量快 1 个亿！重点是，哪怕你从来没手动 pip 装过它，你用的那些 AI 插件、工具链、开源项目，大概率背地里都把它当依赖装了，等于你不知不觉就在风险里了。
这次攻击最狠的地方，真的刷新认知：只要你装上了带毒版本，不用写一行代码、不用主动 import 调用它，只要你开 Python 进程，恶意代码自动执行！真正的装上就中招，无差别打击！
给你们说下它有多缺德：恶意代码一运行，直接扫光你机器里所有值钱的家底 ——SSH 密钥、AWS / 阿里云 / 腾讯云这些云平台的凭证、K8s 集群密钥、数据库账号密码、环境变量里的敏感信息，甚至连加密货币钱包都给你扒得一干二净。偷完直接加密打包，发给黑客的服务器。要是检测到你用的是 K8s 集群，它直接横向扩散，在每个节点都埋雷，整个集群直接给你霍霍完。
最搞笑也最万幸的是，这波攻击能被及时发现，全靠黑客自己写了个低级 bug！有个开发者用 Cursor 编辑器里的 MCP 插件，这插件间接依赖了带毒的 litellm，结果恶意文件一运行，疯狂开子进程，直接形成了死循环 fork 炸弹，当场把电脑内存干爆、直接死机。就这一下，才让这波本来能悄咪咪潜伏好几天、甚至好几周的攻击，直接提前暴露。AI 圈大佬 Karpathy 都吐槽，要是没这个失误，到时候不知道多少公司、多少开发者的底裤都被偷没了。
更吓人的还在后面，这根本不是单次投毒，是连环炸！这波是黑客组织 TeamPCP 搞的事，他们 3 月 19 号先把业内常用的漏洞扫描工具 Trivy 给攻陷了，而 litellm 的官方发布流程里，正好用了这个 Trivy 做安全扫描。结果就是：本该防漏洞的工具，成了黑客的跳板，直接顺走了 litellm 的 PyPI 官方发布令牌，光明正大把带毒的版本传到了官方仓库里。3 月 24 号当天，10:39 发了带毒的 1.82.7，10:52 又发了更狠的 1.82.8，中间就隔了 13 分钟，防不胜防。
更离谱的是黑客的嚣张程度：有社区成员在 GitHub 提 issue 预警这事，黑客只用了 102 秒，就用 73 个盗来的账号刷了 88 条垃圾评论，直接把预警信息淹了，甚至还盗了项目维护者的账号，直接把 issue 给关了。最后社区没办法，只能另开新的预警帖，还转到 Hacker News 上才把消息扩散开。
现在！立刻！马上！打开你的终端，执行这行命令排查：pip show litellm
版本是 1.82.6 及之前的，暂时是安全的
只要是 1.82.7、1.82.8 这两个版本，别犹豫，立刻卸载！
重点中的重点：只要你装过这两个恶意版本，直接默认你环境里所有的密钥、凭证、账号密码全泄露了！赶紧全量轮换！云平台、服务器、数据库、Git 所有密码全换！千万别抱侥幸心理！
最后真的感慨一句，现在搞开发，装个依赖都跟开盲盒一样。Karpathy 借这事也说，供应链攻击真的是现代软件最可怕的威胁，你永远不知道你装的依赖，在依赖树的深处藏着什么雷。他现在都宁愿用大模型自己写简单功能的代码，都不想随便装外部依赖了。
搞开发的朋友赶紧转发给身边的同事，紧急排查！别等中招了才后悔！

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！