340万次下载的LiteLLM被投毒:AI供应链安全大地震

2026-05-28 · 综合PyPI官方通告、安全厂商分析报告及ACM研究

核心观点

作为AI应用基石的开源库LiteLLM被植入后门，暴露了AI软件供应链极其脆弱，一次攻击可能波及数百万用户，成为行业不可忽视的系统性风险。

一次教科书式的供应链攻击

攻击者的手法极其专业。他们首先通过未知渠道获取了LiteLLM维护者的GitHub Actions token，然后利用自动化发布流程，神不知鬼不觉地将恶意代码注入正式版本。用户执行常规的pip install –upgrade litellm后，就会在后台加载攻击者代码，该代码会扫描机器上的SSH密钥、云实例元数据凭证，并上传到攻击者控制的服务器。由于LiteLLM通常在CI/CD环境或云服务器上运行，这些密钥一旦泄露，攻击者就能横向渗透整个云账号。安全公司追踪发现，至少数百家企业的凭证已被泄露，波及范围可能包括知名AI初创公司、大型企业的AI开发团队。

AI供应链的脆弱本质

LiteLLM事件之所以是分水岭，在于它击中了AI生态最脆弱的命脉。AI应用严重依赖开源库，依赖链往往深达数个层级，任何一个环节出问题都可能造成全局性灾难。与传统的代码库不同，AI库不仅管理代码，还管理着大量敏感的模型API密钥和数据管道凭证，这就意味着一次攻击的损失远超代码被窃。一位安全研究员愤怒地表示：“整个AI行业把无数token和密钥托管给一个开源库，却没人检查它的更新，这在安全上简直疯狂。”事件后，PyPI紧急冻结了LiteLLM的更新权限，但信任已造成巨大破损。

行业防御：从被动到主动

事件推动行业紧急升级安全措施。大型AI公司开始强制要求对依赖库进行完整性验证，引入软件物料清单（SBOM）和数字签名，确保每个组件来源可信。开源社区也在讨论是否要对核心AI库实施更严格的权限管理，甚至由基金会托管关键库的发布流程。一些安全厂商迅速推出针对AI供应链的监测工具，实时扫描依赖关系并预警异常更新。“供应链即安全边界”成为新共识——过去认为内网安全就万事大吉，现在最危险的可能就是你信任的那行代码。

开源生态的信任重建

LiteLLM事件对开源模式本身提出了拷问。当AI基础设施越来越核心，核心库的维护者寥寥几人且精力有限，安全防护就成了不可能完成的任务。如果攻击者盯上维护者的笔记本电脑，整个生态都岌岌可危。行业迫切需要在开放与安全间找到平衡，比如设立开源安全基金，为核心库提供全职安全审计，或是推行多因素发布签名。这起事件将深刻影响未来AI软件的开发方式——安全不再只是大公司的护城河，而是每个参与者的基本义务。

金句

• AI供应链就像一排多米诺骨牌，LiteLLM的倒下只是开始。
• 当你信任开源库时，你也在信任它的所有维护者的家庭WiFi安全。
• 一次更新，万千密钥成裸奔——这就是AI依赖链的脆弱真相。

为什么值得关注

LiteLLM事件揭示了AI基础设施极度依赖的供应链存在致命风险，直接关系到全球数百万AI应用的安全基座，将促使行业建立更严格的开源安全标准。

青龙智阁 · AI资讯日报 · 2026-05-28