供应链攻击：LiteLLM 恶意版本事件警示 AI 应用安全风险

2026 年 3 月 25 日，开源项目 LiteLLM 遭遇了一起供应链攻击事件，引发了 AI 开发者社区的广泛关注。这起事件不仅提醒了开发者供应链安全的重要性，也为如何防范此类攻击提供了深刻教训。

⚠ LiteLLM 供应链攻击事件回顾

LiteLLM 是一个广泛使用的 LLM（大语言模型）调用工具，开发者可通过其统一接口调用 OpenAI、Anthropic、Vertex AI 等多种模型。因其位于调用链核心位置，应用场景包括鉴权、路由、负载均衡甚至敏感信息管理。然而，LiteLLM 的高普及度也使其成为攻击目标。

2026 年 3 月，攻击者通过劫持 LiteLLM 在 PyPI 的维护者账号上传了带有后门的恶意版本（1.82.7 和 1.82.8）。尤其是版本 1.82.8，被检测为高风险版本，其恶意代码会随着 Python 解释器启动自动执行，即便用户未显式 import 该模块，也会导致后门代码运行。

🔍 攻击背后：重大风险与影响

这次投毒行为的严重性在于：

• 位置关键：LiteLLM 是许多企业和开发者调用 LLM 模型的核心中间层，掌握了模型 API Keys、环境变量、云凭证等机密信息。一旦这些信息被窃取，可能导致大规模数据泄露或服务被滥用。
• 自动执行：恶意代码植入后无需手动加载模块也会自动运行，极大增加了隐形风险。
• 维护者账号劫持：事件源头是 PyPI 账号被黑客劫持，随后攻击者绕过了官方 CI/CD 流程直接上传恶意包。

🔥 如何查验 & 防范恶意版本

如果你在 2026 年 3 月 25 日后至 LiteLLM 恶意版本下架前（日期具体可查官方公告）安装过该库，建议采取以下措施：

1. 检查你的环境是否有 LiteLLM 版本 1.82.7 或 1.82.8。
2. 卸载风险版本，可通过以下命令完成：

   pip uninstall litellm

3. 删除系统缓存文件及重置相关服务的 API Keys 和环境变量，避免潜在泄露风险。

   pip cache purge

4. 监控使用 LiteLLM 的系统或应用的异常行为，例如未经授权的外部连接或 CPU 使用率异常。

同时，LiteLLM 官方已修复此问题，并重新发布了安全版本。建议开发者安装 最新稳定版本 并启用锁定依赖版本以减少风险：

pip install --upgrade litellm==[最新安全版本]

🛡 防范供应链攻击的实用建议

从此次事件出发，供应链攻击作为开源生态的主要威胁之一，开发者需要加强安全意识。以下是一些关键防范措施：

• 锁定依赖版本：在部署中使用工具（如 Poetry 或 Pipenv）生成锁定文件，避免组件被自动升级到恶意版本。
• 验证包来源：通过校验 PyPI 包签名或抓取的 checksum 确保未被篡改。
• 使用镜像服务：企业应采用自己可信的镜像仓库管理依赖包，防止使用未经验证的第三方包。
• 启用多因素验证：对于 PyPI 等开发者管理的开放平台账户，强制启用双因素验证（2FA）以降低劫持风险。
• 定期审查依赖：通过工具（比如 Dependabot 或 Snyk）定期扫描依赖安全性，并及时修复潜在问题。

📖 总结

LiteLLM 的投毒事件为开源社区拉响了警报。供应链安全问题不仅仅是中间件维护者的责任，也需要开发者增强意识，采取预防性措施。毕竟，开源带来的便利也可能成为安全攻防战中的薄弱点。通过严格的验证、锁定策略和警觉，可以最大程度减少此类事件对业务的影响。