這場攻擊的核心目標直指AI開發的關鍵基礎設施。作為連接開發者與OpenAI、Anthropic等上百個語言模型的適配層,LiteLLM在GitHub擁有超4萬星標,月下載量達9700萬次。其獨特價值在于將不同API統一為標準格式,使開發者能用一套代碼調用多個模型。更關鍵的是,許多企業將其作為"AI網關"管理模型調用權限和成本追蹤,這種樞紐地位使其成為黑客的完美目標。
攻擊者采用極具隱蔽性的技術手段實現滲透。通過獲取PyPI賬號權限后,他們未直接修改核心代碼,而是植入名為litellm_init.pth的特殊文件。這種以.pth結尾的文件在Python環境中具有最高執行優先級,能在解釋器啟動時自動運行。惡意代碼被隱藏在Base64編碼中,啟動后會掃描系統環境變量、配置文件等,竊取OpenAI密鑰、云服務憑證、SSH密鑰等敏感信息。
目前官方已刪除被污染的1.82.7和1.82.8版本,但風險仍未完全解除。已安裝這兩個版本的開發者需立即手動回滾至1.82.6,因為.pth文件特性使惡意代碼可能持續運行。更嚴峻的是,這種攻擊模式可能引發連鎖反應——任何依賴LiteLLM的工具或框架,包括OpenClaw等AI Agent平臺,都可能成為二次傳播渠道。
供應鏈攻擊的防范面臨結構性挑戰。攻擊成本與收益的嚴重失衡使此類事件難以杜絕:一行惡意代碼通過高頻依賴可影響數萬項目,而防御方需為每個依賴項付出審計成本。這種不對稱性迫使行業探索新解決方案,如沙箱隔離、權限最小化、運行時審計等機制開始在OpenClaw等平臺應用。
開發者社區正形成新的安全共識。越來越多人采用沙箱模式運行AI工具,通過Docker實現環境隔離,嚴格執行最小權限原則,并定期輪換API密鑰。這種轉變標志著開發者從"默認信任"轉向"默認懷疑",在追求功能創新的同時,將安全防護置于同等重要地位。
