ai智能体专区
立即体验恒脑安全智能体 
立即解锁ai安服数字员工 
litellm是一个广受欢迎的python库,用于简化大语言模型(llm)的调用。它提供了统一的接口来访问openai、anthropic、cohere 等多种llm服务,在ai开发社区中被广泛使用。
事件经过
2026年3月,一个名为 “litellm==1.82.8”的恶意包版本被上传到pypi(python包索引)。这个版本包含恶意代码,被设计用于窃取敏感信息。
(litellm官方安全公告:https://docs.litellm.ai/blog/security-update-march-2026)
本次litellm投毒案为一类典型的供应链攻击(supply chain attack):攻击者利用编码方式绕过静态代码分析,在用户无感知的情况下自动执行恶意代码,进而窃取数据。恒脑仅用10分钟便精准复现漏洞,6分钟内高效完成漏洞分析、防护建议及策略验证,对应的网站扫描与主机扫描策略已集成至安恒明鉴漏洞扫描系统,可有效覆盖相关风险,形成从发现到防御的闭环能力。
经恒脑安全智能体研判分析:
攻击步骤如下
1.投毒阶段: 攻击者入侵litellm项目的pypi发布流程,将恶意的litellm_init.pth 文件添加到包中 - 证据来源:[包的record 文件]
2.传播阶段: 用户通过pip install litellm==1.82.8安装受感染的包 - 证据来源:[正常的安装流程]
3.触发阶段: 用户在系统上启动python解释器(任何python程序运行都会触发)- 证据来源:[python .pth 文件自动执行机制]
4.执行阶段: litellm_init.pth 自动执行,收集系统中的敏感信息 - 证据来源:[解析后的python代码数据收集部分]
5.外泄阶段: 收集的数据被加密并通过https发送到攻击者控制的服务器 - 证据来源:[curl外泄代码]
该投毒版本可能执行以下恶意操作
1. 凭证窃取
- 窃取api keys(openai, anthropic等)
- 获取环境变量中的敏感信息
- 拦截llm请求和响应数据
2. 数据外泄
- 将收集的数据发送到攻击者控制的服务器
- 使用加密通信以逃避检测
- 通过dns隧道或其他隐蔽通道传输
3. 后门植入
- 在受影响的系统中留下持久化访问点
- 为未来的攻击铺路
- 可能安装额外的恶意软件
对各方影响分析
01、对开发者的影响
- api 密钥泄露: openai、anthropic 等api密钥被盗
- 成本损失: 攻击者可能滥用 api 密钥,导致账单飙升
- 数据泄露: 敏感的llm对话内容被窃取
- 信任危机: 对开源生态系统的信任度下降
02、对企业的影响
- 商业机密泄露: 内部对话、提示词工程等机密信息外泄
- 合规风险: 违反数据保护法规(gdpr、ccpa等)
- 财务损失: 潜在的法律诉讼和赔偿
- 声誉损害: 客户和龙8下载的合作伙伴的信任度下降
03、对生态系统的信任冲击
- pypi可信度下降: 开发者开始怀疑所有包的安全性
- 开源项目受影响: litellm官方项目的声誉受损
- 社区恐慌: 引发对整个python生态系统的信任危机
litellm 1.82.8投毒事件是软件供应链安全的又一个警钟。它不仅影响了数百名开发者,还威胁着整个ai开发生态系统的信任基础。此次事件告诉我们,即使是流行的库或其他开源项目也需要安全验证,发现安全问题后的每分钟都很重要。
针对此类供应链投毒攻击,安恒信息建议企业将安全防护左移,在依赖引入阶段利用恒脑安全智能体进行风险识别。通过恒脑的快速研判与明鉴的自动化扫描联动,帮助用户在攻击者利用凭证窃取前完成风险收敛,构建从发现到防御的闭环能力。
