AI 圈地震：月安装量约 9500 万次的 API 网关 LiteLLM 遭投毒，波及 OpenAI / Anthropic 等用户

　　 IT之家3月25日消息，科技媒体cyberkendra昨日(3月24日)发布博文，报告称月均安装量达9500万次的AI基础设施工具LiteLLM遭到供应链投毒。

　　 IT之家注：LiteLLM是一个开源的AI API网关，作为支撑数千家企业AI架构的关键工具，支持开发者通过统一的格式调用OpenAI、Anthropic、Azure等100多家服务商的API调用。

　　该工具于2026年3月24日在PyPI官方仓库发布了两个带有后门的版本(1.82.7和1.82.8)。这两个恶意版本携带了复杂的“三阶段”攻击负载：首先通过凭据收集器窃取数据，随后利用Kubernetes横向移动工具在集群节点间渗透，最后植入伪装成“系统遥测服务”的持久后门。

　　恶意版本目前已从仓库撤下，最后一个安全版本确认为1.82.6。

　　此次投毒在技术手段上表现出极高的隐蔽性。1.82.7版本将恶意代码隐藏在proxy_server.py文件中，只要用户导入该模块，代码就会静默执行。

　　而 1.82.8版本则进一步升级了破坏力，攻击者利用了Python的.pth配置文件特性。由于Python解释器在启动时会自动处理此类文件，这意味着恶意软件会在任何Python调用时触发，用户无需手动导入任何模块或进行交互，环境即会被完全感染。

　　黑客为了模仿LiteLLM的官方服务，通过伪造的域名models.litellm.cloud进行数据回传，而该域名极具误导性。

　　被窃取的数据范围极广，涵盖了SSH密钥、AWS和GCP云凭据、Kubernetes机密、加密货币钱包以及CI/CD令牌等。

　　 LiteLLM本身就是一个API密钥管理网关，黑客精准打击了这一掌握各类资源“钥匙”的核心节点。此外为规避流量检测，所有外传数据在发送前都经过了AES-256-CBC和RSA-4096的高强度加密。

　　安全公司Endor Labs调查发现，此次攻击由黑客组织TeamPCP发起。该组织本月早些时候曾入侵过Aqua Security的Trivy扫描器。

　　由于LiteLLM在自身的CI/CD流水线中使用了已被入侵的Trivy工具，导致TeamPCP获取了LiteLLM的发布权限，从而成功推送了带毒版本。

　　受影响的用户应立即采取行动以挽回损失。首先，请运行命令pip show litellm|grep Version确认当前版本，并检查site-packages目录下是否存在litellm_init.pth文件。

　　如果确认安装过恶意版本，必须立即强制更换所有云端密钥、SSH私钥、数据库密码及Kubernetes令牌。同时，建议用户将LiteLLM降级至1.82.6版本，并安全审计过去48小时内运行过的所有CI/CD流水线，确保没有残留的持久化后门。