评分 8 · 来源:36氪 · 发布于 2026-03-26
评分依据:AI基础设施级供应链攻击事件,月下载9700万的开源包被投毒,Karpathy深夜发声。攻击者代码bug导致崩溃才被发觉,如果没有这个意外后果不堪设想。
3月24日,一个看似普通的版本更新 LiteLLM 1.82.8 出现在 PyPI 上。全球数百万开发者的终端每天自动拉取这类更新,没人注意到这个版本里藏着精心设计的恶意代码。
只要执行 pip install litellm,你机器上的 SSH 密钥、云服务凭证、数据库密码、加密货币钱包——几秒内被加密打包,发往一个伪装成官方的服务器。如果机器连着 Kubernetes 集群,恶意代码还会自动横向扩散,在每个节点上植入后门。
LiteLLM 是什么? 它是全球 AI 应用开发中最核心的基础设施之一,开源包月下载量 9700 万。几乎所有用 AI 的团队都间接依赖它。
为什么暴露了? 纯属意外——攻击者自己的代码里有一个 bug,导致目标机器直接崩溃。如果没有这个 bug,没人知道这次投毒还要扩散多久。
Andrej Karpathy 深夜发文,直呼这是「软件惊魂(Software Thriller)」,并列出了被窃取的清单:AWS/GCP/Azure 凭据、Kubernetes 配置、CI/CD 机密、数据库密码,一应俱全。
这次事件暴露了开源 AI 供应链的系统性风险:一个 9700 万月下载的包,维护者和用户之间没有足够的信任验证机制。