网易首页 > 网易号 > 正文 申请入驻

连Karpathy都怕了!9千万级AI包被投毒,竟靠黑客写出bug救命

0
分享至


新智元报道

编辑:元宇

【新智元导读】一次只持续了不到1小时的投毒事件,撕开了AI基础设施「信任链」的致命裂缝。更魔幻的是,全行业逃过一劫,居然靠黑客自己写出bug。

刚刚,科技界经历了一场惊心动魄的「供应链投毒」危机。

3月24日上午,一个普通的版本更新LiteLLM 1.82.8,出现在PyPI上。

全球数百万开发者的终端,每天都在自动拉取这类更新,没有人注意到这个版本里藏着一段精心设计的恶意代码:

只要你执行一句pip install litellm,你机器上的SSH密钥、云服务凭证、数据库密码、加密货币钱包……会在几秒内被加密打包,发往一个伪装成官方的服务器。

然后,如果你的机器连着Kubernetes集群,恶意代码会自动横向扩散,在每个节点上植入后门。

LiteLLM,是当下AI应用开发中最核心的基础设施之一。它的开源包全球月下载量9700万。

但这次,这根管道却差点被人从内部凿穿,而且之所以逃过一劫,纯属意外。

攻击者自己的代码里有个bug,导致目标机器直接崩溃。如果没有这个bug,没人知道这次「投毒」还要扩散多久。

目睹这一幕,Andrej Karpathy深夜发文,直呼这是「软件惊魂」。


Karpathy帖子中所列的「窃取清单」堪比「灾难现场」:

AWS/GCP/Azure 凭据、Kubernetes配置、CI/CD 机密、数据库密码、SSH 密钥……

「惊魂」过后,Karpathy说了一句可能改变整个行业开发范式的话:

「我越来越抗拒依赖了。」

pip install

然后你的一切都没了

这不是一次普通的漏洞告警,只要你在终端里敲下这句看似人畜无害的pip install litellm,你的整台机器就会瞬间对攻击者彻底敞开大门。

根据安全分析,这次投毒不是简单地偷几个密码,而是对整台机器和整个集群的「全面洗劫」。

攻击者的窃取清单几乎覆盖了开发者最核心的一切:

  • SSH私钥和配置

  • AWS/GCP/Azure凭证

  • Kubernetes配置和Token

  • .env中的API Key

  • git凭证

  • 数据库密码

  • shell历史记录

  • SSL私钥

  • CI/CD机密

  • 加密货币钱包文件

  • 环境变量中的敏感信息

更可怕的是,LiteLLM根本不是一个冷门工具。

作为连接各大语言模型提供商的关键中间件,它是名副其实的AI应用层「水电煤」,拥有每个月高达9700万次的下载量!

很多项目用它统一连接OpenAI、Anthropic、Google、Azure等多家模型提供商。

许多Agent框架、MCP Server、LLM编排工具,也会把它作为底层依赖引入。

这让这次投毒的影响,升级到了整条AI依赖链被撕开一道口子

即使你根本不知道什么是LiteLLM,只要你执行了pip install dspy(它依赖litellm>=1.64.0),或者安装了其他任何依赖该包的大型AI项目,你都会作为传递依赖的受害者中招。

一次投毒,顺着错综复杂的依赖树,瞬间就会辐射到无数AI项目中。

这就是为什么Karpathy会直接把它定义为「软件界的恐怖故事」。

一次靠黑客「代码写太烂」才暴露的史诗级漏洞

你可能会想,既然影响这么大,那安全公司一定第一时间拉响了警报吧?

但事实的真相有点荒诞和讽刺。

最早发现异常的,是Callum McMahon团队的工程师。


当时,他们在Cursor里使用一个MCP插件,而这个插件会把LiteLLM作为传递依赖拉进来。

安装到被投毒的LiteLLM1.82.8之后,机器突然开始异常:内存被疯狂吃满,最后直接崩溃。

后来追进去才发现,问题出在一个.pth文件上。

对很多Python开发者来说,.pth文件平时几乎没有存在感。

但正因这样,它可以在Python解释器启动时自动执行代码。攻击者就在这里塞进了恶意启动器。

按原本设计,它会悄悄拉起子进程,执行后续窃密和外传逻辑。

结果它写砸了。

因为子进程本身也会再次触发同一个.pth文件,于是每个新进程都会再生出新进程,进入指数级自我复制,最后演变成一个fork bomb,把机器资源迅速吃光。

也就是说,这次攻击之所以暴露,只是因为它自己把自己玩炸了。

如果攻击者不是靠vibe coding搞出了这个乌龙,这次如此隐蔽的后门,极可能会在全网潜伏数周甚至数月而不被察觉。

全行业的安全防线竟然靠的是黑客写了个bug,整个生态的安全检测机制,在这一刻形同虚设。

这也是整件事最让人后怕的地方。

一场精心策划的「 供应链投毒」

从攻击手法的精密程度来看,这是一场有组织的「供应链投毒」。

首先,攻击者不知通过何种手段攻破了维护者的PyPI账户,直接绕过了官方的CI/CD发布流程,把带有后门的v1.82.7和v1.82.8版本强行上传到了PyPI仓库。

在LiteLLM的GitHub源码仓库中,你甚至找不到对应的tag或release记录。

其次,攻击载荷分为极其专业的三段式:

第一阶段,是精准的大范围「收集」;

第二阶段,是用内置的4096位RSA公钥配合AES-256-CBC进行高强度「加密」,并外传到一个极具迷惑性的假域名(models.litellm.cloud);

第三阶段最致命,如果环境中存在Kubernetes的凭证,它会直接「横向移动」,读取集群中所有命名空间下的全部Secret,并在所有节点创建特权Pod,植入持久化后门。


LiteLLM 1.82.8的恶意litellm_init.pth文件,在Python解释器启动阶段被自动触发,进而执行三阶段payload攻击

最令人毛骨悚然的一个细节发生在事发后:

当社区试图在GitHub issue中讨论此事时,该issue被所有者直接以「not planned」关闭,随后被数百个机器人账号疯狂刷屏淹没。


维护者的账号和开发环境显然已被全面接管,攻击者正在系统性地掩盖痕迹。

目前,LiteLLM官方已经介入,怀疑此次事件与更大范围的Trivy安全事件有关(疑似使用被盗凭证),并紧急联系了Google Mandiant安全团队进行取证。

所幸的是,官方Docker镜像的用户因固定了版本而免遭一劫。

但这套完整的APT(高级持续性威胁)手法,已经宣告了「战争」的升级。

Karpathy的「反依赖宣言」

AI开发范式要变了

这场灾难,正在深刻改变硅谷顶层技术精英对软件工程的底层认知。

传统的软件工程观念一直教导我们:不要重复造轮子。依赖是构建宏大金字塔的坚实砖块。

但在这次事件后,Karpathy在推文中抛出了他的「反依赖宣言」:

这也是为什么我越来越抗拒依赖,更倾向于在功能足够简单、而且确实可行的时候,直接用LLM去「顺」一段功能来用。

从「依赖是砖块」到「依赖是定时炸弹」,这不仅仅是情绪的发泄,更是AI时代开发范式的重大转折。

每次执行pip install,你都在整棵依赖树深不可测的某一环,引入了致命的未知风险。

当大模型已经强大到能够直接生成和替换第三方依赖的底层逻辑时,「少依赖」将不再是代码洁癖,而会成为核心的安全策略。

这其中还隐藏着一个极具讽刺意味的闭环:

Callum之所以中招,是因为使用了AI编码工具Cursor,通过MCP插件引入了AI中间件litellm。

AI工具链自身,竟然成了最大的攻击面

AI正在飞速创造解决问题的新范式,但同时也在创造前所未有的新漏洞。

9700万次下载背后的「信任危机」

LiteLLM官方已经在做止血动作:

下架受污染版本;轮换维护者凭证;建立新的授权维护者;联系Mandiant做取证分析;提示用户排查受影响版本、查找IoC、轮换所有凭证。


https://docs.litellm.ai/blog/security-update-march-2026

虽然,LiteLLM事件以不到1小时的「闹剧」收场,受污染版本已被撤回,凭证也已轮换,但真正令人不安的是,这次事件之所以没有演变成更大规模的静默灾难,不是靠安全体系发现了它,而是因为黑客自己出错。

9700万的月下载量,意味着全行业进行了9700万次「信任赌博」。

这次「投毒事件」暴露出AI基础设施中开源供应链的信任模型,也可能是极其脆弱的:

你以为你信任的是成千上万行经过审查的开源代码,但实际上,你信任的仅仅是某个远在天边的包维护者没有把他的PyPI账号密码搞丢,或者他的电脑没有中木马。

这种系统性的安全风险,对于过度依赖开源的AI生态无疑是一记重锤。

如果AI开发者和企业大量依赖PyPI等开源包,而基础设施安全又仅仅寄托在「上游没有被黑」这种虚幻的假设上,类似危险的重演,可能只是时间问题。

LiteLLM只是一个开始,谁也无法回答那个最让人不安的问题:

下一个被投毒的包,会是哪个?

参考资料:

https://x.com/karpathy/status/2036487306585268612?s=20%20

https://futuresearch.ai/blog/litellm-pypi-supply-chain-attack/

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
后续!彭处长被停职,男友雷某正脸曝光,身份被扒,他才是导火索

后续!彭处长被停职,男友雷某正脸曝光,身份被扒,他才是导火索

谭谈社会
2026-07-13 13:53:05
47岁马宁告别世界杯:感谢球迷调侃我卡牌大师 永远热爱中国足球

47岁马宁告别世界杯:感谢球迷调侃我卡牌大师 永远热爱中国足球

念洲
2026-07-13 13:33:59
宽城暴雨:车如饺子般被冲走,泡水车成堆无人认领,水和房顶齐平

宽城暴雨:车如饺子般被冲走,泡水车成堆无人认领,水和房顶齐平

Mr王的饭后茶
2026-07-13 11:15:19
“你女儿的肉好吃吗”?捉奸在床斩奸夫命根,廊坊杀妻剥皮案始末

“你女儿的肉好吃吗”?捉奸在床斩奸夫命根,廊坊杀妻剥皮案始末

易玄
2026-07-13 11:00:44
香港富商郭炳湘被张子强裸身塞进木箱6天,20亿赎金硬被家属砍到6亿,获救后发现母亲早在董事会埋下了一张底牌,比劫匪更狠绝

香港富商郭炳湘被张子强裸身塞进木箱6天,20亿赎金硬被家属砍到6亿,获救后发现母亲早在董事会埋下了一张底牌,比劫匪更狠绝

磊子讲史
2026-07-13 11:54:05
发现中国有一个奇怪社会现象:父母不在人世间了, 什么舅舅姑姑表兄弟, 还有一些八竿子打不着的亲属, 基本上就形同陌路,不再相互往来

发现中国有一个奇怪社会现象:父母不在人世间了, 什么舅舅姑姑表兄弟, 还有一些八竿子打不着的亲属, 基本上就形同陌路,不再相互往来

背包旅行
2026-07-13 15:12:59
《浪姐7》李小冉惊爆离婚!11年婚掰了制片人老公…1原因关系破裂

《浪姐7》李小冉惊爆离婚!11年婚掰了制片人老公…1原因关系破裂

ETtoday星光云
2026-07-13 11:26:45
国企董事长办公室收礼后续!已被免职,长相曝光,全程笑着数钱

国企董事长办公室收礼后续!已被免职,长相曝光,全程笑着数钱

小鋭有话说
2026-07-13 00:06:31
坐拥18套房产,通过APP答题受贿,医院放射科主任栽了!

坐拥18套房产,通过APP答题受贿,医院放射科主任栽了!

方圆
2026-07-13 11:15:55
又给中国提了个醒:美军发动了第四次军事打击,伊朗面临生死抉择

又给中国提了个醒:美军发动了第四次军事打击,伊朗面临生死抉择

共工之锚
2026-07-13 10:30:36
马斯克预测某车企必死,全网破防了!

马斯克预测某车企必死,全网破防了!

财经要参
2026-07-12 22:01:37
比砒霜还毒!一盘凉拌黄瓜致男子肝衰竭,医生建议:出现这种情况直接扔掉

比砒霜还毒!一盘凉拌黄瓜致男子肝衰竭,医生建议:出现这种情况直接扔掉

大象新闻
2026-07-13 08:02:10
金球奖最新赔率:姆巴佩领跑!哈兰德第8 前10名仅2人无缘世界杯4强

金球奖最新赔率:姆巴佩领跑!哈兰德第8 前10名仅2人无缘世界杯4强

我爱英超
2026-07-13 12:53:21
“特朗普、内塔尼亚胡、英法德意四国领导人,被列入暗杀名单”

“特朗普、内塔尼亚胡、英法德意四国领导人,被列入暗杀名单”

新京报
2026-07-13 14:42:15
胡锡进:我不支持双开霸车位的副处长,一点小事大动干戈真可悲

胡锡进:我不支持双开霸车位的副处长,一点小事大动干戈真可悲

映射生活的身影
2026-07-13 13:13:09
今日重要赛事!7月13日,CCTV5、CCTV5+直播节目表

今日重要赛事!7月13日,CCTV5、CCTV5+直播节目表

薇说体育
2026-07-13 14:06:32
长沙“占车女”,网民为什么要死磕她

长沙“占车女”,网民为什么要死磕她

行者殷涛
2026-07-13 11:51:18
中山大学:222人,取消录取资格

中山大学:222人,取消录取资格

南方都市报
2026-07-13 14:56:47
千万别舍不得开空调再添实锤!2026年研究:低温能抗癌、抑癌,激活棕色脂肪和癌细胞“抢糖”,增强疗效;而高温易诱发肥胖,且损害代谢

千万别舍不得开空调再添实锤!2026年研究:低温能抗癌、抑癌,激活棕色脂肪和癌细胞“抢糖”,增强疗效;而高温易诱发肥胖,且损害代谢

梅斯医学
2026-07-13 07:53:31
高善文先生的追悼,它们究竟在害怕什么?

高善文先生的追悼,它们究竟在害怕什么?

胖胖说他不胖
2026-07-13 10:00:48
2026-07-13 17:07:00
新智元 incentive-icons
新智元
AI产业主平台领航智能+时代
15679文章数 66953关注度
往期回顾 全部

科技要闻

OpenAI与Anthropic互掐,最强AI也怕你不用

头条要闻

17天婴儿被宠物狗咬开脑袋 医生:狗强烈嫉妒才伤人

头条要闻

17天婴儿被宠物狗咬开脑袋 医生:狗强烈嫉妒才伤人

体育要闻

世界杯月赚1.7亿,51岁的他仍是顶流

娱乐要闻

具俊晔“深情人设”崩塌,遗产瓜开撕

财经要闻

扫开就近2元,共享单车涨价到哪里是个头

汽车要闻

源自奔驰的驾控底蕴 smart 精灵6号跑高速是真的爽

态度原创

健康
旅游
游戏
艺术
公开课

肝病、肾病患者注意!吃粘食要谨慎

旅游要闻

西藏山南:羊卓雍措景色壮美

PS5 Pro涨疯了!港版官方授权店标价7999港币

艺术要闻

中国美术学院教授,任志忠油画作品选(一)

公开课

李玫瑾:为什么性格比能力更重要?

无障碍浏览 进入关怀版