文章
文章商店文档

月均安装9500万次的AI工具LiteLLM遭投毒!你的API密钥可能已经泄露

一个支撑数千家企业AI架构的核心工具,在官方Python仓库发布了两个带后门的版本,窃取SSH密钥、云凭据、Kubernetes机密甚至加密货币钱包——这不是电影情节,而是2026年3月24日真实发生的供应链攻击。

一、 事件速览:当“钥匙管理器”被配了把万能钥匙

受影响工具:LiteLLM——一款月均安装量达9500万次的开源AI API网关,支持开发者通过统一格式调用OpenAI、Anthropic、Azure等100多家服务商的API。

恶意版本:2026年3月24日在PyPI官方仓库发布的1.82.71.82.8版本(最后一个安全版本为1.82.6)。

攻击后果:攻击者可窃取SSH密钥、AWS/GCP云凭据、Kubernetes机密、加密货币钱包、CI/CD令牌等核心凭证。由于LiteLLM本身就是API密钥管理网关,这次攻击等于精准打击了掌握各类资源“钥匙”的核心节点。

当前状态:恶意版本已从PyPI撤下,但已安装用户需立即处置。

二、 攻击链拆解:从CI/CD到Python解释器的层层渗透

源头:CI/CD流水线被“鸠占鹊巢”

安全公司Endor Labs调查发现,此次攻击由黑客组织TeamPCP发起。该组织本月早些时候曾入侵过Aqua Security的Trivy扫描器。而LiteLLM在自己的CI/CD流水线中恰好使用了已被入侵的Trivy工具,导致TeamPCP获取了LiteLLM的PyPI发布权限,成功推送了带毒版本。

恶意代码的“三重隐藏”

攻击者采用了极其隐蔽的“三阶段”攻击负载:

  1. 1.82.7版本:将恶意代码隐藏在proxy_server.py文件中。用户只要导入该模块,代码就会静默执行,窃取本地凭证。
  2. 1.82.8版本:利用Python的.pth配置文件特性进行升级攻击。由于Python解释器启动时会自动处理此类文件,恶意软件会在任何Python调用时触发,用户无需手动导入任何模块或进行交互,环境即被完全感染。
  3. 数据回传:黑客伪造域名models.litellm.cloud(极具误导性,看起来像官方服务)进行数据回传,所有外传数据均经过AES-256-CBC和RSA-4096高强度加密,规避常规流量检测。

窃取范围:攻击者想要的远不止API密钥

被窃取的数据范围极广,包括但不限于:

  • SSH密钥
  • AWS、GCP等云服务凭据
  • Kubernetes机密
  • 加密货币钱包私钥
  • CI/CD流水线令牌
  • 各类数据库密码

三、 为什么这次攻击如此危险?

1. 击中“关键节点”效应

LiteLLM本身就是API密钥管理网关,是无数企业AI基础设施的“钥匙串”。一旦它被植入后门,等于攻击者拿到了所有接入服务的通行证。

2. 自动化触发,无需交互

1.82.8版本利用Python的.pth特性,让恶意代码在Python解释器启动时自动运行。这意味着任何调用Python的操作都可能触发感染,用户甚至不知道自己中了招。

3. 高度伪装

回传域名models.litellm.cloud与LiteLLM官方域名极为相似,普通管理员很难从流量日志中发现异常。而AES+RSA双重加密进一步隐藏了外传数据内容。

4. 供应链攻击的“经典样本”

从入侵Trivy扫描器,到获取LiteLLM发布权限,再到投放后门——这是一条完整的供应链攻击链,标志着开源生态面临的威胁正在升级。

四、 站长/开发者自检:你的环境安全吗?

立即执行以下检查:

  1. 确认版本
   pip show litellm | grep Version

如果显示1.82.71.82.8,说明你已安装恶意版本。

  1. 检查恶意文件
    查看Python的site-packages目录下是否存在litellm_init.pth文件。如果存在,环境已被感染。
  2. 回顾最近48小时的CI/CD流水线
    检查是否有异常构建、部署行为,以及是否使用了LiteLLM的恶意版本。

如果确认受影响,立即行动:

  1. 强制更换所有凭据
  • 轮换所有云端密钥(AWS、GCP、Azure等)
  • 更换SSH私钥
  • 重置数据库密码
  • 轮换Kubernetes令牌
  • 迁移加密货币钱包(如有)
  1. 降级至安全版本
   pip install litellm==1.82.6
  1. 清理持久化后门
    删除site-packages目录下的litellm_init.pth文件及相关恶意代码。
  2. 审计CI/CD流水线
    检查过去48小时内所有运行过的流水线,确保没有残留的恶意作业或后门。

五、 主机吧安全建议:用WAF为开源依赖“兜底”

LiteLLM事件再次暴露了开源供应链的脆弱性。对于企业而言,仅靠事后修复远远不够,必须建立主动防御体系:

1. 部署WAF,拦截恶意外联

即使攻击者窃取了凭证,他们仍需将数据传输出去。百度云防护WAF可以:

  • 检测并阻断对可疑域名(如models.litellm.cloud)的请求
  • 识别AES/RSA加密后的异常数据包特征
  • 在数据外传前拦截,减少损失

2. 建立依赖安全基线

  • 对关键开源组件进行版本锁定,禁止自动更新
  • 使用私有PyPI镜像,审核通过后才允许引入新版本

3. 实施最小权限原则

确保CI/CD流水线使用的令牌、密钥仅具有完成构建所需的最小权限,即使泄露也能降低影响范围。

4. 开启实时告警

对异常外联、可疑进程、文件变更等行为设置实时告警,第一时间发现入侵迹象。

LiteLLM供应链投毒事件,是一记响亮的警钟:在AI狂飙的时代,我们依赖的开源工具可能正在成为攻击者的跳板。 立即检查你的环境,必要时寻求专业安全团队的帮助。

如果您对受影响范围或修复方案有疑问,欢迎联系主机吧,我们将为您提供免费的技术咨询和应急响应支持。

主机吧 | 专注网络安全实战,助您筑牢服务器安全防线
提供百度云防护WAF、高防CDN、高防IP、高防服务器、SSL证书一站式服务
让每一次依赖都安全可靠,让每一次攻击都止步于防线。

给TA打赏
共{{data.count}}人
人已打赏
API密钥LiteLLM
0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
热线电话
关注服务号
QQ客服
  • QQ176363189 点击这里给我发消息
旺旺客服
  • 速度网络服务商 点这里给我发消息
电子邮箱
  • sudu@yunjiasu.cc
微信客服
  • suduwangluo
回到顶部