AI 工具链供应链投毒事件响应:壹安至行基于大模型安全分析平台完成风险识别与全域排查(上)

随着大模型应用的快速落地，AI 工具日益依赖统一的模型接入层，部分组件逐渐演变为关键基础设施。然而，攻击路径也在发生转变——攻击者正从直接攻击系统，转向更隐蔽的“开发工具链”。

从近期 LiteLLM 的 PyPI 投毒事件到 Apifox CDN 资源篡改可以看出，这类被广泛使用的工具已成为高价值攻击入口。一旦被投毒，影响范围将从单一应用扩展至整个开发链路，且由于隐蔽性强、感知成本高，开发者往往在无感知状态下面临风险。

事件发生后，壹安至行第一时间启动专项分析，在大模型安全分析平台中快速集成该供应链事件的核心检测规则，并在全公司范围内开展排查与处置，及时消除潜在安全隐患，防止风险进一步扩散。

以下为对上两起投毒事件的详细分析。

一旦该组件被攻陷，影响范围将是”全局级”的。

第一层 Payload 解码后内嵌了一段经过 Base64 编码的 Python Payload和一个 RSA 公钥。运行时，脚本会在临时目录中解码并执行该隐藏Payload，将收集到的敏感信息写入临时文件。随后，它通过 openssl 生成随机 AES-256-CBC 对称密钥对数据进行加密，再用内嵌的 RSA 公钥加密该对称密钥，形成混合加密方案，确保只有持有私钥的攻击者才能解密内容。最后，脚本将加密数据打包成 tar.gz 压缩包，通过 curl 静默 POST 到远程服务器 models.litellm.cloud。整个过程所有错误输出均被抑制，异常也被静默忽略，目的是隐蔽执行、不引起用户注意。

第二层 Payload 是真正的信息收集模块，全面扫描并窃取目标主机上几乎所有敏感凭据：主机名、用户名、内核版本、网络配置、环境变量、SSH 私钥及配置、Git 凭据、AWS/GCP/Azure 云平台凭证、Kubernetes 集群配置和 ServiceAccount Token、Docker 认证信息、数据库密码文件（MySQL、PostgreSQL、MongoDB、Redis）、npm token、Vault token、WireGuard VPN 配置、Terraform 状态文件和变量、SSL/TLS 私钥证书，以及比特币、以太坊等加密货币的钱包文件和密钥。此外还尝试通过 AWS 元数据接口获取临时凭证，并用正则搜索代码中的 API Key、Webhook 地址等敏感字符串。所有收集到的内容经外层加密后外传，是一个覆盖面极广的凭据收割器。

.pth 文件是 Python 的一种特殊机制——当它被安装到 site-packages 目录后，Python 解释器在每次启动时会自动读取并执行其中的内容。这意味着用户只要通过 pip install litellm 安装了这个包，litellm_init.pth 就会被放入 site-packages，之后每次启动 Python 进程时其中的代码都会被自动执行，无需用户主动 import litellm。这是一个非常关键的持久化和自动触发机制——攻击者通过 .pth 文件实现了”安装即激活”的效果。

在litellm_init.pth文件中包含了第一层的 base64 Payload，如下图所示：

解码后与 litellm-1.82.7 版本投毒的内容相同，触发后将收集敏感信息并上传至攻击者服务器。

proxy_server.py 文件哈希：

壹安至行大模型安全分析平台覆盖算法安全、数据安全、内容安全、供应链安全、智能体安全及智能基础设施安全六大维度，内置丰富的安全探针、检测脚本、测试用例，支持热插拔扩展。通过自动化检测发现提示注入、越狱攻击、数据泄露、供应链投毒等安全风险，输出量化评分与修复建议，帮助企业在AI系统上线前识别并消除安全隐患。

平台将供应链安全作为独立维度呈现，与算法安全、智能体安全并列，方便团队快速掌握整体安全状态。