微新创想:AI 开发者圈内炸开了锅 著名 AI 科学家 Andrej Karpathy 亲自发帖“预警” 揭露了一场针对 AI 供应链的精准投毒攻击
受害者正是 GitHub 超过4万星 每月下载量接近1亿次的 Python 库——litellm 由于该库是调用各大模型 API 的“万能钥匙” 此次事件的影响力正如同多米诺骨牌般向整个 AI 工具链扩散
装上就中招 恶意代码的“隐形”渗透 这次攻击最阴毒的地方在于其触发机制 攻击者在 litellm 的 PyPI 版本(1.82.7 和 1.82.8)中植入了一个恶意的 .pth 文件 无需调用 即刻执行 只要你通过 pip install 安装了这两个版本 恶意代码就会在每次 Python 进程启动时自动运行
即便你只是装了它 却一行代码都没写 你的系统也已经向黑客敞开了大门 全家桶式窃密 恶意代码会疯狂搜刮主机上的敏感资产 包括 SSH 密钥 AWS/GCP 云凭证 Kubernetes 密钥 加密货币钱包以及所有的环境变量(即你的各类大模型 API Key) 并加密发送至攻击者的服务器
戏剧性反转 攻击者被自己的“Bug”出卖 这场本来可能潜伏数周的完美犯罪 竟然毁于黑客的一个低级错误 一位开发者在 Cursor 编辑器中使用插件时 发现机器内存瞬间被撑爆 原来 恶意代码在触发时产生了指数级的进程分叉(Fork Bomb)
正是因为这个导致系统崩溃的 Bug 才让安全研究员顺藤摸瓜发现了投毒行径 Karpathy 感叹道 如果不是黑客代码写得太烂 这场大规模洗劫可能至今仍无人察觉
连锁反应 安全工具竟成“递刀人” 溯源发现 这次攻击源于一系列供应链崩塌 攻击者 TeamPCP 先是攻陷了漏洞扫描工具 Trivy 盗取了 litellm 的发布令牌 随后绕过代码审查直接在 PyPI 上传了毒包
目前 包括 DSPy MLflow Open Interpreter 在内的2000多个常用 AI 工具都间接依赖该库 安全专家建议 立即运行 pip show litellm 检查 若版本高于1.82.6 请务必将其视为“全盘泄露”并立刻更换所有敏感凭证
