一

LiteLLM投毒案

LiteLLM是一个广受欢迎的Python库,用于简化大语言模型(LLM)的调用。它提供了统一的接口来访问OpenAI、Anthropic、Cohere 等多种LLM服务,在AI开发社区中被广泛使用。

事件经过

2026年3月,一个名为 “litellm==1.82.8”的恶意包版本被上传到PyPI(Python包索引)。这个版本包含恶意代码,被设计用于窃取敏感信息。

（LiteLLM官方安全公告：https://docs.litellm.ai/blog/security-update-march-2026）

本次LiteLLM投毒案为一类典型的供应链攻击（Supply Chain Attack）：攻击者利用编码方式绕过静态代码分析，在用户无感知的情况下自动执行恶意代码，进而窃取数据。恒脑仅用10分钟便精准复现漏洞，6分钟内高效完成漏洞分析、防护建议及策略验证，对应的网站扫描与主机扫描策略已集成至安恒明鉴漏洞扫描系统，可有效覆盖相关风险，形成从发现到防御的闭环能力。

经恒脑安全智能体研判分析:

攻击步骤如下

1.投毒阶段: 攻击者入侵LiteLLM项目的PyPI发布流程，将恶意的litellm_init.pth 文件添加到包中 - 证据来源：[包的RECORD 文件]

2.传播阶段: 用户通过pip install litellm==1.82.8安装受感染的包 - 证据来源：[正常的安装流程]

3.触发阶段: 用户在系统上启动Python解释器（任何Python程序运行都会触发）- 证据来源：[Python .pth 文件自动执行机制]

4.执行阶段: litellm_init.pth 自动执行，收集系统中的敏感信息 - 证据来源：[解析后的Python代码数据收集部分]

5.外泄阶段: 收集的数据被加密并通过HTTPS发送到攻击者控制的服务器 - 证据来源：[curl外泄代码]

恶意行为及影响分析

该投毒版本可能执行以下恶意操作

1. 凭证窃取

- 窃取API keys(OpenAI, Anthropic等)

- 获取环境变量中的敏感信息

- 拦截LLM请求和响应数据

2. 数据外泄

- 将收集的数据发送到攻击者控制的服务器

- 使用加密通信以逃避检测

- 通过DNS隧道或其他隐蔽通道传输

3. 后门植入

- 在受影响的系统中留下持久化访问点

- 为未来的攻击铺路

- 可能安装额外的恶意软件

对各方影响分析

01、对开发者的影响

- API 密钥泄露: OpenAI、Anthropic 等API密钥被盗

- 成本损失: 攻击者可能滥用 API 密钥,导致账单飙升

- 数据泄露: 敏感的LLM对话内容被窃取

- 信任危机: 对开源生态系统的信任度下降

02、对企业的影响

- 商业机密泄露: 内部对话、提示词工程等机密信息外泄

- 合规风险: 违反数据保护法规(GDPR、CCPA等)

- 财务损失: 潜在的法律诉讼和赔偿

- 声誉损害: 客户和合作伙伴的信任度下降

03、对生态系统的信任冲击

- PyPI可信度下降: 开发者开始怀疑所有包的安全性

- 开源项目受影响: LiteLLM官方项目的声誉受损

- 社区恐慌: 引发对整个Python生态系统的信任危机

三

供应链安全的重要性

LiteLLM 1.82.8投毒事件是软件供应链安全的又一个警钟。它不仅影响了数百名开发者,还威胁着整个AI开发生态系统的信任基础。此次事件告诉我们，即使是流行的库或其他开源项目也需要安全验证，发现安全问题后的每分钟都很重要。

针对此类供应链投毒攻击，安恒信息（688023）建议企业将安全防护左移，在依赖引入阶段利用恒脑安全智能体进行风险识别。通过恒脑的快速研判与明鉴的自动化扫描联动，帮助用户在攻击者利用凭证窃取前完成风险收敛，构建从发现到防御的闭环能力。