litellm投毒: 一次教科书级的供应链攻击

今天(3月24日)，AI开发者常用的Python库litellm在PyPI上被植入恶意代码。版本1.82.8在UTC时间10:52发布到PyPI，包含一个名为litellm_init.pth的恶意文件，会在每次Python进程启动时自动执行。不需要你主动调用这个库，装上就中招。

litellm是干什么的?

它是一个统一调用各家大模型API的Python库，GitHub超过4万星，每月下载量超过9500万次。很多AI工具链都依赖它，包括DSPy、MLflow、OpenInterpreter等，总共有2000多个包把它当作依赖项。

也就是说，你可能从来没有手动安装过litellm，但你用的某个工具替你装了。

恶意代码会系统性地收集主机上的敏感数据:SSH密钥、AWS/GCP/Azure云凭证、Kubernetes密钥、环境变量文件、数据库配置，甚至加密货币钱包。收集完毕后加密打包，发送到攻击者控制的域名。

如果检测到Kubernetes环境，恶意代码还会利用服务账户令牌在集群的每个节点上部署特权Pod，进行横向扩散。

怎么发现的?

攻击者自己写了个bug。FutureSearch的CallumMcMahon在Cursor编辑器里用了一个MCP插件，这个插件间接依赖了litellm。恶意.pth文件在每次Python启动时都会触发，子进程又触发同一个.pth，形成指数级的forkbomb，直接把机器内存撑爆了。

Karpathy在推文里说得很清楚: 如果攻击者没有在写恶意代码时犯这个bug，这个投毒可能好几天甚至好几周都不会被发现。