凌晨三點，你的CI/CD流水線還在跑。它調(diào)了個叫Trivy的工具掃漏洞，一切正常。沒人告訴你，這個"安全掃描"已經(jīng)變成了小偷的鑰匙。

這就是3月19日發(fā)生在LiteLLM身上的事。這個被3萬多個項目依賴的開源LLM接口庫，因為信任了一個行業(yè)標配的安全工具，反而成了供應(yīng)鏈攻擊的跳板。兩個惡意版本（v1.82.7和v1.82.8）在PyPI上存活了足夠長的時間，直到Berri AI的CEO Krrish Dholakia發(fā)現(xiàn)問題時，偷憑證的代碼已經(jīng)躺在了litellm_init.pth文件里。

攻擊鏈的精妙之處不在于技術(shù)多復(fù)雜，而在于它利用了所有人對"版本標簽"的慣性信任。

第一環(huán)：Trivy的GitHub Actions被"借尸還魂"

2月底，攻擊者盯上了Aqua Security維護的Trivy項目。他們沒直接入侵代碼庫，而是找到了一個配置失誤的GitHub Actions環(huán)境，順走了一個高權(quán)限訪問令牌。

這個令牌能干嘛？能改CI/CD流程，能動版本標簽，能在數(shù)十萬個項目的流水線里植入后門。

Aqua Security事后復(fù)盤時發(fā)現(xiàn)，攻擊者玩了一手"舊瓶裝新酒"。他們沒有發(fā)布明顯可疑的新版本，而是直接修改了已有版本標簽指向的代碼。具體來說，是trivy-action這個GitHub Action腳本的標簽。

「因為很多CI/CD流水線依賴版本標簽而不是固定提交哈希，這些流水線繼續(xù)執(zhí)行，沒有任何跡象表明底層代碼已經(jīng)改變?！笰qua Security的原話。

換句話說，你的配置文件里寫著@master或者@v0.69，你以為自己在用一個穩(wěn)定的、經(jīng)過社區(qū)檢驗的版本。實際上標簽背后指向的代碼早就被換過了，而GitHub的UI不會告訴你這個標簽的"內(nèi)容"什么時候被重寫。

3月19日，惡意Trivy v0.69.4發(fā)布。3月22日，v0.69.5和v0.69.6作為DockerHub鏡像跟進。攻擊者自稱TeamPCP，他們的目標不是Trivy本身，而是所有把Trivy當"安全基礎(chǔ)設(shè)施"的項目。

第二環(huán)：LiteLLM的令牌是怎么漏出去的

LiteLLM的CI/CD管道里跑了Trivy。這很正常，3萬多個項目都這么干。

不正常的是，項目的PYPI_PUBLISH令牌——就是那個能往Python官方倉庫推代碼的鑰匙——被存成了GitHub倉庫的.env變量。Dholakia后來承認，這個令牌在掃描過程中被Trivy獲取，然后流到了攻擊者手里。

「我們的賬戶有2FA，所以問題出在令牌本身?！顾谔永飳懙?。攻擊者不需要破解他的密碼，只需要一個有效的、能寫PyPI的令牌。

拿到令牌后，TeamPCP往LiteLLM里塞了litellm_init.pth。這個文件在Python包安裝時自動執(zhí)行，把環(huán)境里的憑證往外送。兩個版本，v1.82.7和v1.82.8，就這么上了PyPI。

Python Packaging Authority（PyPA）后來的安全通告說得直接：「任何安裝并運行過該項目的人，都應(yīng)假設(shè)LiteLLM環(huán)境中所有可訪問的憑證可能已泄露，并相應(yīng)撤銷/輪換?！?/b>

第三環(huán)：GitHub上的"感謝攻擊"

攻擊者似乎嫌事情不夠亂，還在GitHub的漏洞報告頁面搞起了行為藝術(shù)。

太平洋時間凌晨5:44，數(shù)十條"Thanks, that helped!"的變體突然涌入。安全研究員Rami McCarthy統(tǒng)計，25個發(fā)帖賬號里有19個也參與了Trivy項目的垃圾信息轟炸。 presumably AI生成， presumably是關(guān)鍵詞——這些賬號的回復(fù)模式太整齊了，整齊到不像真人。

目的很明顯：把真正有用的技術(shù)討論埋進噪聲里，讓后來的人翻半天找不到關(guān)鍵信息。這種"干擾戰(zhàn)術(shù)"在供應(yīng)鏈攻擊里越來越常見，成本極低，效果極好。

Dholakia的補救措施包括：刪除所有PyPI發(fā)布令牌，評估"可信發(fā)布"（trusted publishing）方案，考慮換PyPI賬戶。但損失已經(jīng)造成——任何在3月19日到下架期間裝過這兩個版本的人，都得假設(shè)自己的密鑰已經(jīng)裸奔過。

為什么這次攻擊值得所有開發(fā)者重新檢查流水線

TeamPCP的操作手冊其實不復(fù)雜：找一個被廣泛依賴的開源工具，利用標簽可變性的設(shè)計缺陷，橫向滲透到下游項目。但正是這種"不復(fù)雜"，讓它特別難防。

整個行業(yè)對Trivy的信任是合理的。Aqua Security是正經(jīng)公司，Trivy是CNCF畢業(yè)項目，無數(shù)企業(yè)的安全合規(guī)檢查表上寫著"必須集成漏洞掃描"。但當這種信任變成配置上的惰性——用@master而不是@commit-hash，用.env存敏感令牌而不是專用密鑰管理服務(wù)——攻擊者就有了可乘之機。

GitHub Actions的標簽可重寫性是個老問題。2022年就有過類似案例，但顯然沒引起足夠警覺。LiteLLM的教訓(xùn)是：你的供應(yīng)鏈安全不僅取決于你直接依賴的項目，還取決于你依賴的項目的CI/CD配置，以及那個項目維護者的安全意識。

現(xiàn)在去檢查你的.github/workflows?？纯从卸嗌俨襟E用了浮動標簽，有多少機密躺在環(huán)境變量里，有沒有哪個"安全工具"實際上成了最大的攻擊面。TeamPCP不會只攻擊一次，而下一個目標可能就是你流水線里的某個@latest。