AI 开发者圈内炸开了锅,著名 AI 科学家 Andrej Karpathy 亲自发帖“预警”,揭露了一场针对 AI 供应链的精准投毒攻击。受害者正是 GitHub 超过4万星、每月下载量接近1亿次的 Python 库——litellm。由于该库是调用各大模型 API 的“万能钥匙”,此次事件的影响力正如同多米诺骨牌般向整个 AI 工具链扩散。
装上就中招:恶意代码的“隐形”渗透
这次攻击最阴毒的地方在于其触发机制。攻击者在.pth 文件。
无需调用,即刻执行: 只要你通过
pip install安装了这两个版本,恶意代码就会在每次 Python 进程启动时自动运行。即便你只是装了它,却一行代码都没写,你的系统也已经向黑客敞开了大门。全家桶式窃密: 恶意代码会疯狂搜刮主机上的敏感资产,包括 SSH 密钥、AWS/GCP 云凭证、Kubernetes 密钥、加密货币钱包以及所有的环境变量(即你的各类大模型 API Key),并加密发送至攻击者的服务器。
戏剧性反转:攻击者被自己的“Bug”出卖
这场本来可能潜伏数周的完美犯罪,竟然毁于黑客的一个低级错误。一位开发者在 Cursor 编辑器中使用插件时,发现机器内存瞬间被撑爆。
原来,恶意代码在触发时产生了指数级的进程分叉(Fork Bomb)。正是因为这个导致系统崩溃的 Bug,才让安全研究员顺藤摸瓜发现了投毒行径。Karpathy 感叹道,如果不是黑客代码写得太烂,这场大规模洗劫可能至今仍无人察觉。
连锁反应:安全工具竟成“递刀人”
溯源发现,这次攻击源于一系列供应链崩塌:攻击者 TeamPCP 先是攻陷了漏洞扫描工具 Trivy,盗取了
目前,包括 DSPy、MLflow、Open Interpreter 在内的2000多个常用 AI 工具都间接依赖该库。安全专家建议:立即运行 pip show litellm 检查,若版本高于1.82.6,请务必将其视为“全盘泄露”并立刻更换所有敏感凭证。