紧急预警!多款AI工具框架引用的Python库LiteLLM被投毒,你的密码、密钥可能已泄露

核心提示：如果你近期用pip安装过任何AI相关工具，请立即停下手中工作，检查是否安装了LiteLLM的恶意版本。你的电脑密码、云账号密钥、加密钱包可能正在被黑客窃取！

近日，热门Python库LiteLLM被发现遭供应链投毒攻击。你甚至没有直接安装它，它却可能作为“隐形杀手”，藏在你常用的AI开发框架里，静默潜伏，自动窃密。

一、一场“无感”的入侵

LiteLLM是一个用于统一调用各种大语言模型（LLM）的接口库，在AI开发者群体中使用广泛。

在最新发现的恶意版本（1.82.7 和 1.82.8）中，攻击者植入了一个名为 litellm_init.pth 的恶意文件。

• 你无需在代码中import该库
• 只要Python环境启动，它就会自动执行
• 它会扫描你电脑上的：
• API keys
• SSH 私钥
• 云服务凭证（AWS/GCP/Azure）
• Kubernetes secrets
• CI/CD secrets
• 加密钱包文件

所有敏感信息都会被加密发送到攻击者的远程服务器。

二、这些知名AI框架已“中招”

由于LiteLLM是这些框架的依赖项，只要你安装了以下任一工具，就可能间接引入了恶意版本：

• CrewAI
• DSPy
• Giskard
• Google ADK
• PydanticAI
• Agent Lightning / Hermes-agent
• LangGraph

如果你近期搭建过AI Agent、RAG应用或微调环境，请务必提高警惕！

三、立即自查！只需一条命令

请在你的所有Python环境中逐一检查（包括venv、conda、系统级Python）：

pip show litellm

或者（如果你同时使用pip3）：

pip3 show litellm

如果你使用 uv 包管理器，可以执行：

find ~/.cache/uv -name "litellm_init.pth"

危险版本号：

• 1.82.7
• 1.82.8

如果显示的版本在上述范围内，说明你的系统已被入侵。

四、如果中招了，请立即执行以下步骤

1. 卸载恶意库并清除缓存

pip uninstall litellm
pip cache purge

如果使用 uv：

rm -rf ~/.cache/uv  # 删除uv相关缓存（注意路径）

2. 删除后门文件

攻击者会在系统目录中写入持久化文件，必须手动清除：

rm -rf ~/.config/sysmon/
rm -rf ~/.config/systemd/user/sysmon.service

3. 轮换所有凭据（最重要的一步！）

不要抱有任何侥幸心理。 以下凭据必须全部视为已泄露，立即重新生成/更换：

• SSH 私钥
• AWS / GCP / Azure 访问密钥
• Kubernetes kubeconfig 文件
• 所有 .env 文件中存储的 API key、数据库密码
• 加密钱包助记词、私钥（建议迁移资产）

4. 针对K8s环境额外审计

如果你的环境涉及Kubernetes，请立即：

• 审计所有namespace的secrets访问记录
• 清理可疑的 node-setup-* 类型Pod

五、给开发者的安全建议

1. 锁死依赖版本：在requirements.txt或pyproject.toml中固定版本号，避免“pip install”时自动拉取恶意更新。

2. 定期审查依赖树：使用 pipdeptree 查看间接依赖，了解你的项目中到底引入了哪些库。

3. 使用私有镜像/缓存：企业团队建议搭建私有PyPI镜像，对上游包进行安全扫描后再同步。

4. 最小权限原则：开发环境、CI/CD使用的凭据应严格限制权限，避免使用根密钥。

写在最后

供应链攻击已经成为当前最隐蔽、危害最大的攻击方式之一。一个广泛使用的开源库一旦被投毒，影响范围可能是数以万计的开发者与系统。

请将这篇文章转发给更多技术朋友、运维同事。 多一次自查，少一分风险。安全无小事，防患于未然！

参考资料：本文基于最新披露的LiteLLM安全事件整理，建议关注官方后续通告及修复版本发布。

（本文信息截止发布前有效，请根据实际情况操作）