近日，開源AI API網關LiteLLM遭遇供應鏈投毒事件，引發全球開發者社區高度關注。作為支撐數千家企業AI架構的核心工具，該平臺每月安裝量高達9500萬次，支持通過統一接口調用OpenAI、Anthropic等100余家服務商的API服務。此次攻擊導致兩個惡意版本（1.82.7和1.82.8）在PyPI官方倉庫短暫發布，現已被緊急撤下。

安全公司Endor Labs披露，黑客組織TeamPCP通過精心設計的"三階段"攻擊鏈實施破壞。首個惡意版本1.82.7將攻擊代碼植入proxy_server.py文件，用戶導入模塊時即觸發憑據竊取程序；升級版1.82.8則利用Python的.pth配置文件特性，使惡意軟件在解釋器啟動時自動執行，無需用戶任何交互即可實現環境感染。為增強隱蔽性，攻擊者注冊了偽造域名models.litellm.cloud用于數據回傳，該域名與官方域名高度相似。

被竊取數據涵蓋企業核心資產，包括SSH密鑰、主流云平臺（AWS/GCP）認證憑證、Kubernetes集群配置、加密貨幣錢包及CI/CD系統令牌。由于LiteLLM本身作為API密鑰管理中樞，此次攻擊相當于直接獲取了企業AI基礎設施的"萬能鑰匙"。為規避網絡監測，所有外傳數據均采用AES-256-CBC與RSA-4096雙重加密處理。

調查顯示，攻擊路徑始于本月早些時候TeamPCP對Aqua Security Trivy掃描器的入侵。該組織通過篡改LiteLLM的CI/CD流水線，利用被污染的Trivy工具獲取發布權限，最終成功推送惡意版本。這種通過供應鏈上游滲透的攻擊方式，凸顯開源生態面臨的系統性風險。

安全專家建議受影響用戶立即執行三項應急措施：通過命令"pip show litellm | grep Version"核查當前版本；檢查site-packages目錄是否存在litellm_init.pth文件；強制輪換所有云端密鑰、SSH私鑰及Kubernetes令牌。同時建議將LiteLLM降級至1.82.6安全版本，并對近48小時內運行的CI/CD流水線進行全面審計，防止持久化后門殘留。

此次事件再次敲響開源軟件安全警鐘。據統計，PyPI倉庫每月處理超過30億次下載請求，但僅有12%的包經過基本安全驗證。開發者社區呼吁建立更嚴格的發布審核機制，包括多因素認證、代碼簽名驗證及自動化漏洞掃描等防護措施。