LiteLLM被投毒4万次下载：一个Python包的供应链攻击实|python|中间件|代码|密钥|投毒|调用

每天300万次下载量的AI中间件，在PyPI上被人塞进了窃密后门。攻击者没碰官方仓库，而是劫持了版本发布流程——这种"借道发货"的手法，让4万多名开发者在毫不知情中，把恶意代码装进了生产环境。

发现过程：一台48GB内存的Mac突然卡死

FutureSearch安全研究员Callum McMahon的电脑开始"抽风"时，他第一反应是硬件故障。htop加载要十几秒，CPU直接顶到100%，"这配置不该出现这种事"。强制重启前他拍了最后一张照片留证，没想到这成了追踪供应链攻击的起点。

排查后McMahon锁定问题：litellm 1.82.8版本被植入恶意负载。这个专门帮开发者统一调用OpenAI、Anthropic、Azure等百余种大模型API的工具包，此刻正在后台疯狂扫描——SSL证书、SSH密钥、云厂商凭证、Kubernetes配置、Git凭据、API密钥、Shell历史记录、加密钱包，全部在收集清单上。

Andrej Karpathy在X上转发了攻击细节时，评论区一片冷汗。很多开发者这才意识到：自己pip install时顺手装上的"便利工具"，可能已经把公司云账号的访问密钥发到了攻击者服务器。

攻击路径：PyPI的发布权限成了突破口

McMahon的后续分析还原了入侵链条。攻击者没有直接攻破LiteLLM的GitHub仓库，而是瞄准了PyPI的包发布机制——这个Python生态的核心枢纽，允许项目维护者通过API密钥或可信发布者（Trusted Publisher）配置自动上传新版本。

具体哪个环节被突破，目前公开信息有限。但PyPI的攻击面近年持续暴露：2023年有研究团队发现，仅通过拼写相似度（typosquatting）和依赖混淆（dependency confusion）就能大规模投毒；2024年PyPI强制开启双因素认证后，攻击者转向窃取CI/CD管道中的发布令牌。

LiteLLM的维护团队反应算快。McMahon报告后，恶意版本被迅速下架，PyPI官方也介入调查。但4万多次下载已经发生——按Python包的安装习惯，这些代码很可能残留在 countless 个虚拟环境和Docker镜像里，等待被激活。

为什么AI工具链成了靶子

LiteLLM的定位很微妙。它不做模型，只做"翻译层"：开发者写一套代码，就能切换OpenAI、Claude、Gemini、甚至自托管的Llama。这种"中间件"特性让它成了AI应用的标配依赖，也意味着一旦沦陷，攻击面覆盖整个AI基础设施。

更麻烦的是密钥管理现状。很多团队为了方便，把OpenAI API key直接写进环境变量或配置文件。LiteLLM本身需要这些凭证来路由请求，恶意代码正好利用这个合法需求，把"读取配置"变成"批量外泄"。McMahon发现的payload甚至专门扫描了~/.aws/credentials和~/.kube/config——云原生开发者的标准配置路径。