Python 库 litellm 被投毒，小心你的密钥被看光

AI开发者注意了！千万不要更新litellm，全球超火的大模型统一调用Python库litellm已被恶意投毒，一旦中招，电脑里的SSH密钥、API Key、云厂商凭证、加密钱包信息会被全盘窃取，波及大量AI项目与开发工具。

一、先搞懂：LiteLLM到底是什么？

LiteLLM是AI开发中刚需级开源Python库，被称作LLM时代的万能插座，核心能力：

• 提供兼容OpenAI API的统一接口，一键对接全球100+主流大模型
• 被dspy、Cursor MCP插件、各类Agent框架、AI脚手架深度依赖
• 相当于AI项目的“底层枢纽”，一旦投毒，关联项目全遭殃

二、突发投毒事件：1.82.8版本藏致命恶意代码

2026年3月24日，黑客绕过GitHub官方发布流程，直接向PyPI强推litellm 1.82.8带毒版本，官方仓库无任何对应Release/Tag，隐蔽性拉满。

最毒设计：无需import，开机自动执行

毒包内置litellm_init.pth文件（约34KB），Python环境中.pth文件会在解释器启动时自动运行，哪怕你从没执行import litellm，只要环境里有这个文件，恶意代码就会悄悄启动。

三、中招后，你的电脑会被偷光这些信息

恶意脚本启动后，会无差别搜刮设备所有敏感数据，包括但不限于：

• SSH私钥（~/.ssh/id_rsa、ssh配置）
• 全部环境变量（所有API Key、鉴权密钥）
• AWS/GCP/Azure云凭证、K8s配置（~/.kube/config）
• Shell历史记录、数据库连接配置
• 加密钱包文件、SSL/TLS私钥 简单说：电脑里有价值的隐私，全被打包偷走。

四、恶意代码完整作恶流程

投毒代码执行分三步，环环相扣，破坏力拉满：

1. 信息大扫除：遍历系统，搜刮所有密钥、凭证、配置文件
2. 加密传输：生成AES-256密钥加密数据，用RSA公钥二次加密，打包成tpcp.tar.gz发送到仿冒官方域名https://models.litellm.cloud/
3. 横向渗透：K8s环境下扫描集群密钥，启动特权容器，留下持久化后门与系统服务，实现长期控制

五、这些人极大概率已中招！

别以为“我没装过litellm就安全”，间接依赖也会被感染：

• 直接执行pip install litellm更新到1.82.8版本
• 项目依赖litellm>=1.64.0（如dspy），自动拉取最新版
• 使用Cursor的MCP插件，通过uvx自动安装依赖
• 本地缓存~/.cache/uv中存在litellm_init.pth文件

本次事件因黑客代码漏洞触发无限递归（fork bomb），导致设备内存爆仓死机，才快速暴露，否则将在生产环境潜伏数周，造成不可逆损失。

六、刻不容缓！3步紧急自救

若近2天更新过litellm相关依赖，立即执行以下操作：

1. 清理毒包与缓存卸载litellm，清空pip/uv缓存，删除litellm_init.pth文件
2. 全盘重置凭证默认所有密钥已泄露：更换SSH Key、云厂商AK/SK、API Key、数据库密码、钱包密钥
3. 排查后门检查~/.config/sysmon/是否存在sysmon.py，删除可疑系统d服务

七、事件反思：开源供应链的安全警钟

Andrej Karpathy评价此次事件为“软件界的恐怖故事”，直指现代软件深不见底的依赖树是最大隐患。

AI开发追求效率，大量引入第三方依赖，却忽视供应链安全：一个底层库被投毒，整条生态链都会被击穿。建议开发者：

• 非必要不随意更新第三方库，优先锁定安全版本
• 重要依赖核对官方源码，不盲目信任PyPI自动拉取
• 核心密钥、凭证做好隔离，避免明文存储在环境变量

最后再次提醒：立刻停止更新litellm，自查环境！转发给身边的AI开发者同学，别让辛苦攒的密钥被黑客一锅端！

• PS：都看到这里，来个点赞、推荐、关注吧。 您的支持是我坚持的最大动力！