三月二十四日早上 10:39 UTC,LiteLLM 1.82.7 安靜地出現在 PyPI 上。
沒有公告,沒有 changelog。對任何一個掃描套件更新的 CI/CD pipeline 來說,它看起來就是一個普通的版本升級——LiteLLM,那個讓你用一行代碼連接所有 AI API 的工具,每月下載量九千七百萬次,你們公司的 AI 產品大概也在用。
11:25 UTC,PyPI 下架了它。
這 40 分鐘,進入了五十萬台機器。
你的安全工具,先被入侵了
要理解這次攻擊,得從兩個月前說起。
TeamPCP 的第一個目標,不是 LiteLLM。是 Trivy。
Trivy 是 Aqua Security 開源的容器漏洞掃描工具,幾乎每一家有在做 DevSecOps 的公司都在用它——你用它掃你的 image、掃你的 dependency,確認沒有已知漏洞,然後才部署。二月底,TeamPCP 找到一個未完成的憑證輪換缺口,取得了 Trivy GitHub repository 的寫入權限,強推惡意代碼到 76 個版本標籤。
你的安全工具,被用來感染你。
三月二十一日,TeamPCP 用從 Trivy 偷來的 GitHub Personal Access Tokens,轉向了 Checkmarx KICS——另一個靜態分析工具,另一個你用來確保代碼安全的東西。35 個版本標籤,全部被污染。
然後是 LiteLLM。
LiteLLM 有 97 million 月下載量,安裝在全球估計 36% 的雲端環境,是 AI 開發者最常用來接 OpenAI、Anthropic、Gemini 的 gateway。它不是一個邊緣套件——它是 AI 工具鏈的樞紐。
惡意代碼藏在一個叫 litellm_init.pth 的文件裡。當 Python 解譯器初始化時,它會自動執行這個文件——不需要你呼叫任何東西,裝好套件、跑任何 Python 腳本,它就跑了。針對的目標清單讓人頭皮發麻:環境變數(API keys、tokens)、SSH keys、AWS/GCP/Azure 憑證、Kubernetes 設定、CI/CD secrets、資料庫憑證,以及加密貨幣錢包。
如果你的 AI 產品有 API key 存在環境變數裡,那 40 分鐘就夠了。
還有一個細節,幾乎所有報導都沒有特別強調:
GitHub 社群在 12:44 UTC 開始回報這個 issue。在接下來的 102 秒內,攻擊者從 73 個已被盜用的開發者帳號,發出了 88 條機器留言,試圖淹沒這個回報。
這是有記錄以來,AI agent 第一次被用於供應鏈攻擊的即時反制行動。
Mercor 的 4TB,和 Meta 的決定
LiteLLM 攻擊的受害者名單很長,但最具象徵意義的一家是 Mercor。
Mercor 是一家 AI 招募平台,估值 $100 億,用 AI 面試、AI 篩選、AI 評分自動化整個招募流程,YC 出身,在 AI 應用層算是做得相當成功的一個。它用 LiteLLM 連接自己的 AI 面試流程。
Lapsus$ 在 Mercor 確認事件後不到一天,在洩露網站上掛出清單:4TB 資料,含 939GB 平台源碼、211GB 用戶資料庫、接近 3TB 的影片面試錄影和身份認證文件。法院文件顯示,至少 40,000 人的個資受影響。
然後 Meta 宣布暫停所有與 Mercor 的合作。
這個決定的意義不只是商業的。Meta 用 Mercor 的平台外包 AI 訓練的資料標注工作——那些影片面試裡,可能包含了 Meta 訓練流程的操作方法和評分標準。AI 訓練的「秘方」不只在模型權重裡,也在那些你外包給第三方的流程裡。
一週內,五起集體訴訟相繼提出。
——完整分析與數據(含 AI 資安能力對比圖表、Anthropic Mythos 與 OpenAI Codex Security 深度拆解)請至原站閱讀全文 → https://tech.lennychen.com/blog/ai-supply-chain-litellm-mythos-security
