GitHub 上四萬顆星，日均下載 340 萬次，幾乎是 AI 開發(fā)者電腦里都會(huì)出現(xiàn)的基礎(chǔ)設(shè)施。

LiteLLM，昨晚被黑了。

只要你用過它，或者用了任何一個(gè)間接依賴它的工具，你電腦上的東西就會(huì)被打包帶走：遠(yuǎn)程連接的私鑰、AWS/GCP/Azure 各種云賬號(hào)、部署平臺(tái)密鑰、加密貨幣錢包、數(shù)據(jù)庫密碼，還有你放在 .env 文件里的所有 API Key。

打包好，發(fā)走，目的地是黑客提前架好的服務(wù)器。

不需要點(diǎn)任何釣魚鏈接，不需要下載任何可疑文件，甚至不需要犯任何錯(cuò)誤；代碼裝上，它就自己跑了。

根據(jù) BleepingComputer 報(bào)道，有消息人士透露，不到 1 小時(shí)，約 50 萬臺(tái)設(shè)備中招。

但整件事最離譜的地方在于，這波攻擊之所以被發(fā)現(xiàn)，靠的完全是運(yùn)氣。黑客自己寫的惡意代碼里有個(gè) bug，把一臺(tái)機(jī)器的內(nèi)存直接撐爆了。

計(jì)劃堪稱完美，結(jié)局屬實(shí)拉胯。

挑了最理想的目標(biāo)，留了個(gè)最糟糕的 Bug

先說說 LiteLLM 是什么來頭。

官網(wǎng)寫著「Y Combinator 支持」，主要的功能是用同一套代碼接入 ChatGPT、Claude、Gemini 等幾十個(gè)大模型，每月下載量接近 1 億次。

項(xiàng)目官網(wǎng)：https://www.litellm.ai/

它的位置，剛好卡在用戶和所有 AI 工具之間。大量 MCP 插件、Agent 框架，底層都依賴這個(gè) Python 包。就算你從來沒主動(dòng)裝過 LiteLLM，只要你用了任何一個(gè)依賴它的庫，你就已經(jīng)暴露了。

你甚至不知道自己裝了它。但它就在那兒。

黑客組織 TeamPCP 顯然也看中了這一點(diǎn)。他們沒有直接去攻擊 LiteLLM 的服務(wù)器，而是選了一條更陰的路：供應(yīng)鏈攻擊。

怎么理解？普通黑客攻擊，是去撬你家門鎖。供應(yīng)鏈攻擊，是在鎖出廠之前，就已經(jīng)設(shè)置了一個(gè)缺口。

他們盯上的突破口，是 Trivy。這是一個(gè)開源安全掃描工具，相當(dāng)于代碼發(fā)布流水線上的保安，前不久 Trivy 也曾報(bào)告遭受過 AI 攻擊，一度清空了項(xiàng)目倉庫。

黑客也是看中了這點(diǎn)，篡改了 Trivy 的自動(dòng)提交配置。當(dāng) LiteLLM 照常發(fā)布，毫無防備地拉取這個(gè)被污染的「保安」進(jìn)行安全檢查時(shí)，黑客順手就拿到了發(fā)布包的密鑰。

LiteLLM 還取得了多項(xiàng)安全認(rèn)證

接下來的操作就很絲滑了。拿著官方密鑰，他們大大方方地發(fā)布了帶有惡意代碼的 LiteLLM 1.82.7 和 1.82.8 版本。因?yàn)楹灻钦娴?，所有常?guī)校驗(yàn)全部通過。在系統(tǒng)看來，這個(gè)有劇毒的安裝包，就是一個(gè)有著官方簽章的安全發(fā)行版。

沒有任何異常提示。沒有任何紅旗。什么都沒有。

更讓人后背發(fā)涼的是這次的投毒手法，黑客利用了 Python 的啟動(dòng)鉤子機(jī)制。

簡(jiǎn)單說，你不需要寫一行代碼來引入這個(gè)有毒的庫。只要在終端敲一行 pip install，惡意代碼瞬間激活。毫不夸張的說，只要你啟動(dòng)了 Python，它就在跑。

相關(guān)的事件報(bào)告：https://snyk.io/articles/poisoned-security-scanner-backdooring-litellm

它會(huì)掃你本地的環(huán)境變量、遠(yuǎn)程連接密碼，精準(zhǔn)抓取 AWS、Google Cloud 的連接憑證。如果你是 AI 開發(fā)者，它會(huì)翻遍你本地存的所有大模型 API Key。如果是加密貨幣玩家，比特幣、以太坊錢包的助記詞，也會(huì)被打包成一個(gè)名叫 tpcp.tar.gz 的壓縮包，加密處理后，悄悄發(fā)送到黑客前一天剛注冊(cè)的偽裝域名 models.litellm.cloud 上。

攻擊鏈路，教科書級(jí)別，但是毀在了一個(gè)無限套娃的 bug 上。

被一臺(tái)風(fēng)扇狂轉(zhuǎn)的電腦拯救的開源社區(qū)

FutureSearch 的開發(fā)者 Callum McMahon，需要在 Cursor 里跑一個(gè) MCP 插件。插件安裝依賴的時(shí)候，順帶拉了最新版的 LiteLLM。

然后，他的電腦風(fēng)扇開始發(fā)瘋。系統(tǒng)徹底卡死。

排查了一陣后，他在 LiteLLM 1.82.8 里找到了元兇：一段隱藏的惡意代碼，每次 Python 啟動(dòng)都會(huì)自動(dòng)運(yùn)行，瘋狂啟動(dòng)子進(jìn)程，子進(jìn)程再觸發(fā)同樣的惡意代碼，然后繼續(xù)啟動(dòng)新的子進(jìn)程。

套娃，一直套，直到內(nèi)存被榨干。

病毒原本的計(jì)劃是安靜潛伏，悄悄打包你的密鑰帶走。結(jié)果因?yàn)檫@個(gè)失控的遞歸 bug，直接把電腦卡到明面上了。

有網(wǎng)友說，這黑客的攻擊代碼，搞不好也是 AI vibe coding 出來的。考慮到 bug 的低級(jí)程度，這個(gè)猜測(cè)的可信度其實(shí)不低。

目前，反饋這個(gè)問題的帖子有超過 560 條回復(fù)，里面大多數(shù)是機(jī)器人在為自己的主人，推銷相關(guān)的安全產(chǎn)品

順藤摸瓜之后，這位開發(fā)者火速?zèng)_到 LiteLLM 的 GitHub 倉庫提交了問題報(bào)告，試圖給整個(gè)開源社區(qū)拉響警報(bào)。

但他沒想到的是，102 秒內(nèi)，黑客動(dòng)用了手里的開發(fā)者僵尸賬號(hào)網(wǎng)絡(luò)，往帖子下面灌了 88 條無關(guān)評(píng)論，試圖把真正的警告淹沒在垃圾信息里。

緊接著，黑客直接登錄了竊取來的 LiteLLM 維護(hù)者賬號(hào)，用管理員權(quán)限強(qiáng)行關(guān)閉了討論區(qū)。

上下滑動(dòng)查看更多內(nèi)容

截至目前，惡意包已被官方隔離，LiteLLM 團(tuán)隊(duì)緊急重置了所有密鑰。但在那失去防備的 3 個(gè)小時(shí)里，沒有人知道，已經(jīng)有多少開發(fā)者的密鑰流進(jìn)了暗網(wǎng)。

開源生態(tài)的安全，有時(shí)是「皇帝的新衣」

這件事值得談的不只是 LiteLLM 本身，而是它暴露出的整個(gè)生態(tài)的結(jié)構(gòu)性潰敗。

在軟件開發(fā)領(lǐng)域，「不要重復(fù)造輪子」幾乎是圣經(jīng)級(jí)別的準(zhǔn)則。有現(xiàn)成的庫就用現(xiàn)成的，把精力放在真正要做的事情上。這套邏輯讓整個(gè)行業(yè)的效率飛速提升。

但代價(jià)是什么？

隨便打開一個(gè) Python 項(xiàng)目，requirements.txt 里幾十上百個(gè)依賴。每個(gè)依賴又有自己的依賴。真正的「依賴樹」深達(dá)七八層，橫跨幾百個(gè)包，維護(hù)者分布在地球的各個(gè)角落，有的是大廠工程師，有的是在讀學(xué)生，有的可能三年沒登錄過 GitHub 了。

你以為你在信任一個(gè)包。你實(shí)際在信任一整棵你看不見全貌的樹上的每一片葉子。

這棵樹上任何一個(gè)節(jié)點(diǎn)被攻陷，危險(xiǎn)都會(huì)順著依賴關(guān)系一路流到你的機(jī)器上。而你對(duì)此的防御手段是什么？看一眼包名，確認(rèn)下載量夠大，然后按回車。

開源雖然公開透明，但不一定等于安全，他需要大量精力去審核

開源安全的底層假設(shè)是「足夠多的眼睛在看，所有的 bug 都無處可藏」。但 2026 年的現(xiàn)實(shí)是，不是看的眼睛不夠多，而是沒有人再用眼睛看了。

PyPI 沒有強(qiáng)制的包簽名驗(yàn)證機(jī)制，npm 的 provenance 功能普及率極低。大多數(shù)包管理器對(duì)「這個(gè)版本是不是真的由官方發(fā)布的」這個(gè)最基本的問題，至今無法給出可靠的回答。

安全基礎(chǔ)設(shè)施還停留在「Linus 定律」的田園時(shí)代。而 AI 帶來的新用戶，正在以每月數(shù)百萬的速度涌入。

門是 AI 幫你推開的，門后面可能有坑

現(xiàn)在，事情變得更魔幻了。AI 正在以前所未有的速度放大這個(gè)信任黑洞。

以前裝一個(gè)包，好歹是開發(fā)者自己查了文檔、比較了方案之后做出的選擇?，F(xiàn)在的流程是：打開 Cursor，告訴 AI「幫我做個(gè) XX 功能」。AI 寫好代碼，發(fā)現(xiàn)報(bào)錯(cuò)了，然后補(bǔ)一句 pip install litellm，終端開始跑，你看了一眼，按下回車。

就這么一下。

你不知道它裝了什么。你不知道它為什么裝這個(gè)。你只知道 AI 說這樣能修好，你就確認(rèn)了。

更魔幻的是，這種行為模式已經(jīng)不限于開發(fā)者了。連安裝 OpenClaw 這種極客項(xiàng)目，需要敲終端命令行，都出現(xiàn)在了微信官方應(yīng)用里，大大方方寫著 npx -y。「人人都能成為開發(fā)者」這句話翻譯一下就是：人人都能成為供應(yīng)鏈攻擊的受害者。

AI 降低了寫代碼的門檻，也降低了被投毒的門檻。而且降低的幅度完全不對(duì)等。寫代碼那邊是從「需要學(xué)三年」變成「說一句話」，被投毒這邊是從「需要你犯一個(gè)錯(cuò)誤」變成「你什么都不用做」。

上下滑動(dòng)查看更多內(nèi)容

Karpathy 也對(duì)這件事發(fā)了評(píng)論。他說自己越來越不愿意用第三方依賴，開始傾向于讓 LLM 直接把功能代碼生成出來，自己造，不裝黑盒。

這個(gè)思路在個(gè)人層面完全說得通。但放到行業(yè)層面，它是一個(gè)「何不食肉糜」式的建議。

能讓 LLM 從零生成一套完整實(shí)現(xiàn)的人，本來就不是供應(yīng)鏈攻擊的主要受害群體。真正的受害者是那些連 pip install 裝了什么都看不懂的新用戶，是被 AI 編程工具帶進(jìn)來的、對(duì)「依賴」這個(gè)概念毫無認(rèn)知的百萬新開發(fā)者。

告訴他們「你應(yīng)該自己寫代碼而不是裝依賴」，約等于告訴一個(gè)剛拿到駕照的人「你應(yīng)該自己造車而不是買車，因?yàn)橘I來的車可能有缺陷」。

門是 AI 幫你推開的，現(xiàn)在又告訴你，門后面可能有坑，你最好自己造一扇新的。

問題的根源不在于個(gè)人選擇，而在于整個(gè)生態(tài)的信任基礎(chǔ)設(shè)施已經(jīng)跟不上 AI 帶來的用戶增長(zhǎng)速度。這個(gè)剪刀差，才是 LiteLLM 事件真正讓人不安的地方。

整個(gè)文件系統(tǒng)都是攻擊面

有網(wǎng)友說，這次的黑客只想著偷 API Key，格局還是小了。

更高級(jí)的玩法是悄悄污染你的 ~/.claude 目錄、AI Agent 的 skills 文件夾，甚至你每天早上讓 AI 幫你處理的那份 PDF 簡(jiǎn)報(bào)。整個(gè)文件系統(tǒng)都是攻擊面。任何可能進(jìn)入 AI 上下文的文件，都可能是一個(gè)攻擊載體。因?yàn)?AI 不區(qū)分「可信輸入」和「不可信輸入」，對(duì)它來說，一切都是上下文。

上下滑動(dòng)查看更多內(nèi)容

前段時(shí)間就出過一件事。一位 Meta 工程師讓內(nèi)部的 Agent 工具，分析一個(gè)內(nèi)部論壇上的技術(shù)問題。Agent 分析完，沒有經(jīng)過任何確認(rèn)，自己跑到論壇上發(fā)了條回復(fù)。

另一位工程師看到這條回復(fù)，照著操作了，觸發(fā)了一連串連鎖反應(yīng)。最終導(dǎo)致 Meta 內(nèi)部大量系統(tǒng)在將近兩個(gè)小時(shí)內(nèi)，對(duì)沒有權(quán)限的員工完全開放。

沒有黑客。沒有惡意代碼。沒有任何人試圖攻擊任何東西。

一個(gè) AI Agent 自作主張發(fā)了條消息，一個(gè)工程師照做了，事情就失控了。Meta 給了 Sev 1，內(nèi)部第二高級(jí)別的安全事故。

傳統(tǒng)安全模型假設(shè)攻擊者是外部的、有意圖的、需要突破防線的。而 AI 時(shí)代的安全事故可以是內(nèi)部的、無意圖的、根本不需要突破任何東西。

馬斯克倒是很冷酷地點(diǎn)評(píng)了一句，「買家自負(fù)」。他的粉絲秒回：「沒錯(cuò) Elon！這就是為什么特斯拉要從頭到尾自主打造 Optimus！」

上下滑動(dòng)查看更多內(nèi)容

2026 年，最危險(xiǎn)的操作是你什么都沒點(diǎn)

LiteLLM 這件事會(huì)被修復(fù)，密鑰會(huì)被重置，惡意包會(huì)被下架。但它暴露出來的結(jié)構(gòu)性問題不會(huì)因此消失。

AI 把「信任一個(gè)軟件」這件原本就充滿風(fēng)險(xiǎn)的事情，變成了一個(gè)完全無感的動(dòng)作。你不再需要主動(dòng)選擇信任誰，因?yàn)?AI 替你選了，你只需要確認(rèn)。

而確認(rèn)的方式，就是按一下回車。

我們能做的，除了每次按下 Enter 接受 AI 建議的時(shí)候多停一秒想想「這個(gè)工具，我是不是非用不可」，大概也只能等待一種新的安全范式出現(xiàn)。

但在它出現(xiàn)之前，我們正處在一個(gè)尷尬的空窗期：工具的能力已經(jīng)是 2026 年的，安全意識(shí)和基礎(chǔ)設(shè)施還停在 2019 年。

在過去，最危險(xiǎn)的操作是點(diǎn)開一個(gè)釣魚鏈接。在 2026 年，最危險(xiǎn)的操作是你什么都沒點(diǎn)，只是和往常一樣按了一下回車。

我們正在招募伙伴

簡(jiǎn)歷投遞郵箱hr@ifanr.com

?? 郵件標(biāo)題「姓名+崗位名稱」（請(qǐng)隨簡(jiǎn)歷附上項(xiàng)目/作品或相關(guān)鏈接）