打开网易新闻 查看精彩图片

两天前,一个日均下载量340万次的Python包被攻陷了。攻击者没有破解加密算法,没有利用零日漏洞,只是往PyPI上传了两个看似正常的版本。

LiteLLM的后门事件像一块投入湖面的石头。涟漪正在扩散——它暴露的不仅是某个工具的安全漏洞,而是整个Python生态在AI基础设施中的结构性风险。如果你的LLM请求正流经一个Python编写的网关层,这篇文章是写给你的。

你的网关比你想象的更"有权"

先做个清点。如果你在用LiteLLM、Portkey的开源代理,或任何类似的Python路由层,它通常握着这些东西:OpenAI、Anthropic、Google的API密钥;Azure、AWS的访问凭证;可能还有数据库连接字符串、向量存储的认证信息、甚至CI/CD流水线的令牌。

LLM网关是你AI栈里权限最高的组件之一。它是唯一一个能触碰你所有供应商凭证的单点。攻击者攻陷LiteLLM时,拿到的不是某一把钥匙,而是整串钥匙环——SSH密钥、云凭证、数据库密码、加密钱包、CI/CD令牌。清单长得惊人。

这次攻击的狡猾之处在于,它完全利用了Python打包生态的"正常"机制。没有漏洞利用,没有社会工程,只有两个被武器化的标准特性。

.pth文件:每次启动时潜伏的代码

.pth文件:每次启动时潜伏的代码

版本1.82.8包含一个名为litellm_init.pth的文件,藏在site-packages/目录下。Python的.pth机制的设计初衷是简化模块路径管理,但它有个副作用:Python解释器每次启动时都会执行.pth文件中的代码——不是在你import litellm的时候,是每次Python启动。

这意味着恶意代码在以下场景都会运行:

• 你的Kubernetes Pod刚启动
• 你的CI流水线执行Python测试
• 你的Jupyter Notebook内核重启
• 你的Flask/FastAPI服务进程被supervisor拉起

.pth机制是Python的文档化行为(MITRE ATT&CK T1546.018)。它不是bug,是被武器化的feature。攻击者不需要你导入他们的包,只需要Python存在。

依赖链的"被动感染"

依赖链的"被动感染"

LiteLLM是DSPy、CrewAI、OpenHands、MLflow、Arize Phoenix的直接依赖。这些项目通过依赖链自动拉取被攻陷的版本。

你运行pip install crewai,LiteLLM就跟着进来了。你没选它,甚至可能不知道它存在。这就是Python生态的"依赖传递"——便利性的代价是可见性的丧失。

检查你的依赖树:

pip show litellm 2>/dev/null && echo "litellm is installed" || echo "not found"

如果输出显示已安装,你需要确认版本是否在1.82.8或1.82.9——这两个是被植入后门的版本。

"合法凭证"制造的检测盲区

"合法凭证"制造的检测盲区

攻击者用的是被盗但合法的PyPI凭证。哈希验证通过了,包签名通过了,包名正确无误,没有拼写劫持(typosquatting)可供检测。

标准安全工具没有报警,因为从PyPI的视角看,一个受信任维护者发布了新版本。供应链安全的经典困境:你无法区分"合法的恶意更新"和"正常的版本迭代"。

这次攻击的第二个投递机制是__init__.py的代码执行——Python包导入时的标准行为。两个机制都利用了Python的动态特性,这些特性在开发时提供便利,在部署时成为攻击面。

编译型语言的供应链轮廓差异

编译型语言的供应链轮廓差异

用Go或Rust编写的LLM网关有根本不同的供应链画像:

• 运行时无解释器,无动态代码执行
• 依赖在编译时锁定,运行时不可变
• 无.pth、__init__.py等启动时代码注入点

这并不意味着编译型语言免疫供应链攻击。Go模块或Rust crates的构建时依赖也可能被攻陷。但运行时攻击面确实更小——Go二进制文件没有机制在每次启动时从隐藏文件执行任意代码。

选择技术栈时,你是在选择一套 trade-off。Python的生态丰富度和开发速度 vs. 编译型语言的运行时确定性。LiteLLM事件把这个选择的代价具象化了。

如果你暂时无法迁移

如果你暂时无法迁移

锁定版本是最低限度的防御:

litellm==1.82.6

1.82.6是最后一个已知干净的版本。不要用>=~这样的宽松约束,它们会在维护者发布"新版本"时自动拉取潜在恶意代码。

更长线的方案包括:将网关部署在隔离网络段、使用只具备最小权限的凭证、监控异常出站连接、考虑用OPA(Open Policy Agent)或类似工具在网关前加一层策略控制。

但这些都属于"缓解"而非"消除"。只要你的关键路径上有一个Python包,你就继承了Python生态的全部攻击面。

LiteLLM的维护者在事件后快速响应,撤销了恶意版本,轮换了凭证。但问题不在于他们的响应速度,而在于这种攻击模式的可复制性。下一个目标可能是LangChain、可能是LlamaIndex、可能是你依赖的任何一个Python库。

供应链安全没有银弹。但当你的AI基础设施的核心组件是一个可被.pth文件劫持的Python包时,你至少应该清楚自己押注的是什么。

你的依赖树里,还藏着多少个"LiteLLM"?