跳到主要內容

LiteLLM 供應鏈攻擊:你的 AI 開發環境可能已被入侵 | LiteLLM Supply Chain Attack: Your AI Dev Environment May Be Compromised

By Kit 小克 | AI Tool Observer | 2026-03-27

🇹🇼 LiteLLM 供應鏈攻擊:你的 AI 開發環境可能已被入侵

如果你最近幾天有用 pip install litellm,請立刻停下來確認版本號。2026 年 3 月 24 日,PyPI 上的 LiteLLM 套件遭受嚴重的供應鏈攻擊,影響了全球數百萬 AI 開發者的工作環境。

事件發生了什麼?

攻擊者隸屬於名為 TeamPCP 的威脅行為者,從 3 月 19 日開始,先入侵了 Trivy(一個廣泛用於 CI/CD 管線的開源安全掃描工具),竊取了維護者的 PyPI 憑證,最終在 3 月 24 日繞過官方 CI/CD 流程,直接將惡意版本上傳至 PyPI。

受影響版本:litellm 1.82.7litellm 1.82.8,兩個版本在被發現後均已從 PyPI 移除。惡意版本在 PyPI 上存活約 3 小時(10:39 UTC 至 16:00 UTC),但 LiteLLM 每天下載量約 340 萬次,影響範圍仍相當廣泛。

惡意程式做了什麼?

v1.82.8 是最危險的版本:它植入了一個 litellm_init.pth 檔案,只要 Python 直譯器啟動就自動執行,不管你的程式有沒有 import litellm。惡意程式分三個階段運作:

  • 資料收集:竊取 SSH 金鑰、.env 檔案、AWS/GCP/Azure 雲端憑證、Kubernetes 設定、資料庫密碼、shell 歷史記錄、CI/CD 密鑰、加密錢包檔案
  • 加密外洩:以 AES-256 加密資料,再用 RSA-4096 加密金鑰,傳送至偽裝成官方域名的 models.litellm.cloud
  • 持久化後門:如果偵測到 Kubernetes token,會嘗試在 kube-system 命名空間建立特權 Pod,並在 ~/.config/sysmon/sysmon.py 安裝系統級後門

如何確認你有沒有中招?

執行以下指令:

  • pip show litellm — 檢查版本是否為 1.82.7 或 1.82.8
  • ls ~/.config/sysmon/ — 檢查是否存在後門檔案
  • Kubernetes 用戶:檢查 kube-system 中是否有 node-setup-* 命名的 Pod

中招了該怎麼做?

  • 立即移除套件並清除快取:pip uninstall litellm && pip cache purge
  • 輪換所有憑證:SSH 金鑰、雲端 API key、資料庫密碼、CI/CD 密鑰——全部換掉
  • 移除持久化後門:刪除 ~/.config/sysmon/ 目錄與相關 systemd 服務
  • 安全研究員強調:單純降版本是不夠的,必須視同完整入侵事件處理

這件事給 AI 開發者的啟示

LiteLLM 是 AI 開發生態中的核心工具,幾乎所有使用多模型 API 路由的專案都依賴它。這次攻擊凸顯了一個殘酷現實:你信任的工具鏈,本身就是攻擊面。供應鏈攻擊不再只是企業資安問題,AI 開發者的本機環境、CI/CD、Kubernetes 叢集都是目標。建議從現在起:鎖定套件版本(version pinning)、定期審查依賴、對 PyPI 套件保持最低信任原則。

好不好用,試了才知道——但這次,不先查清楚就裝,代價可能非常高。

🇺🇸 LiteLLM Supply Chain Attack: Your AI Dev Environment May Be Compromised

If you ran pip install litellm in the past few days without pinning a version, stop what you are doing and check your environment. On March 24, 2026, the LiteLLM package on PyPI was hit by a serious supply chain attack, affecting potentially millions of AI developers worldwide.

What Happened

A threat actor group called TeamPCP executed a multi-stage campaign starting March 19. They first compromised Trivy, a widely-used open-source security scanner integrated into LiteLLM's own CI/CD pipeline. By stealing maintainer credentials from that environment, they bypassed official release workflows and uploaded malicious packages directly to PyPI on March 24.

The compromised versions are litellm 1.82.7 and litellm 1.82.8, both now removed from PyPI. The malicious window lasted approximately 3 hours (10:39 UTC to ~16:00 UTC), but with LiteLLM seeing roughly 3.4 million downloads per day, the blast radius is significant.

What the Malware Did

Version 1.82.8 is the more dangerous one: it dropped a litellm_init.pth file that executes automatically every time Python starts — regardless of whether your code imports litellm. The payload operated in three stages:

  • Credential harvesting: SSH keys, .env files, AWS/GCP/Azure cloud credentials, Kubernetes configs, database passwords, shell history, CI/CD secrets, and crypto wallet files
  • Encrypted exfiltration: Data encrypted with AES-256 (key wrapped in RSA-4096), sent to attacker-controlled models.litellm.cloud — designed to look legitimate
  • Persistence & lateral movement: If a Kubernetes service account token was found, it attempted to create privileged pods in kube-system and install a backdoor at ~/.config/sysmon/sysmon.py

How to Check If You Are Affected

You may be affected if you installed or upgraded LiteLLM on March 24, 2026, or run pip without version pinning. Check with:

  • pip show litellm — if version is 1.82.7 or 1.82.8, you are affected
  • ls ~/.config/sysmon/ — look for backdoor files
  • Kubernetes users: check kube-system for pods named node-setup-*

What to Do If Affected

  • Remove and purge caches: pip uninstall litellm && pip cache purge
  • Rotate every credential accessible from the affected environment — SSH keys, cloud API keys, database passwords, CI/CD tokens. All of them.
  • Remove persistence artifacts: delete ~/.config/sysmon/ and any associated systemd services
  • Security researchers are clear: reverting the package is not sufficient remediation — treat it as a full compromise incident

The Bigger Lesson for AI Developers

LiteLLM sits at the center of most multi-model AI routing setups. This attack is a reminder that your trusted toolchain is itself an attack surface. Supply chain attacks are no longer just an enterprise concern — AI developers' local environments, CI/CD pipelines, and Kubernetes clusters are all targets. Start practicing version pinning, regularly auditing dependencies, and treating PyPI packages with minimal implicit trust.

好不好用,試了才知道 — but this time, installing without checking first could cost you everything in your environment.

Sources / 資料來源

AI 工具觀察站 — 每日精選 AI Agent 與工具趨勢
AI Tool Observer — Daily curated AI Agent & tool trends

留言

張貼留言

這個網誌中的熱門文章

MCP 突破 9700 萬次下載:AI Agent 的「USB-C」為何成為 2026 年最重要的標準? | MCP Hits 97 Million Downloads: Why Model Context Protocol Became the Most Important AI Standard of 2026

By Kit 小克 | AI Tool Observer | 2026-03-27 🇹🇼 MCP 突破 9700 萬次下載:AI Agent 的「USB-C」為何成為 2026 年最重要的標準? 如果你最近在研究 AI Agent,幾乎不可能沒聽過 MCP(Model Context Protocol) 。這個由 Anthropic 提出、現在已捐給 Linux Foundation 的開放協議,在 2026 年 3 月已達到每月 9700 萬次 SDK 下載 ——距離它 16 個月前推出時的 200 萬次,成長了整整 47 倍 。 為什麼這件事值得關注?因為 MCP 正在成為 AI 工具生態的底層標準,就像 USB-C 統一了充電接口一樣。 MCP 到底解決了什麼問題? 在 MCP 出現之前,每個 AI 應用想要連接外部工具(資料庫、API、本地檔案、第三方服務),都必須各自寫一套整合邏輯。這不只重複造輪,還讓每個 Agent 的能力範圍受限於開發者願意花多少時間手動接線。 MCP 的做法是:定義一個 標準化的通信協議 ,讓 AI 模型可以透過統一介面呼叫任何工具。開發者只需要寫一個 MCP Server,就能讓所有支援 MCP 的 AI(Claude、GPT、Gemini 等)直接使用。 現在有多少工具支援 MCP? 目前已有超過 5,800 個公開的 MCP Server 主流 AI 提供商(Anthropic、OpenAI、Google、Microsoft)全部支援 企業端整合加速:Salesforce、Atlassian、GitHub 等都已發布官方 MCP Server 2026 RSA 資安大會將 MCP 安全性列為重要議題 對開發者來說,現在應該怎麼做? 如果你在做任何跟 AI Agent 相關的開發,MCP 不再是「可以考慮」的選項,而是 必須了解的基礎建設 。幾個實用建議: 先看官方文件 :modelcontextprotocol.io 有完整的 server/client 開發指南 找現成的 MCP Server :mcp.so 和 GitHub 上有大量社群貢獻的整合包 注意安全問題 :MCP 的 prompt injection 風險是目前最熱門的研究議題,上線前務必審查 Cla...
閱讀完整內容

歡迎來到 AI 工具觀察站 | Welcome to AI Tool Observer

By Kit 小克 | AI Tool Observer | 2026-03-27 🇹🇼 歡迎來到 AI 工具觀察站 大家好,我是小克(Kit),一個 AI 工具的重度使用者。 這個部落格會每天分享 AI Agent、自動化工具、以及相關生態系的最新動態與觀點。 我的原則很簡單: 好不好用,試了才知道。 主要關注方向: AI Agent 應用案例與趨勢 Claude、ChatGPT、開源模型生態系 MCP(Model Context Protocol)工具與整合 自動化工作流與效率提升 AI 產業觀察與商業分析 每天更新,中英雙語。歡迎追蹤! 🇺🇸 Welcome to AI Tool Observer Hi, I'm Kit — a power user of AI tools. This blog shares daily insights on AI Agents, automation tools, and the broader AI ecosystem. My motto: You won't know until you try it. Topics I cover: AI Agent use cases and trends Claude, ChatGPT, and open-source model ecosystems MCP (Model Context Protocol) tools and integrations Automation workflows and productivity AI industry observations and business analysis Updated daily, bilingual (Chinese & English). Stay tuned! AI 工具觀察站 — 每日精選 AI Agent 與工具趨勢 AI Tool Observer — Daily curated AI Agent & tool trends
閱讀完整內容

ARC-AGI-3 發布:頂尖 AI 全部得分不到 1% | ARC-AGI-3: Every Top AI Model Scored Under 1%

By Kit 小克 | AI Tool Observer | 2026-03-30 🇹🇼 ARC-AGI-3 發布:頂尖 AI 全部得分不到 1% ARC-AGI-3 於 2026 年 3 月 25 日正式發布,這個全新互動式基準測試立刻震驚整個 AI 圈:Gemini 3.1 Pro、GPT-5.4、Claude Opus 4.6 等頂尖模型,全部得分不到 1%。這不只是一個數字,而是對當前 AI 能力極限最直接的一次公開測試。 ARC-AGI-3 是什麼? ARC-AGI(Abstraction and Reasoning Corpus)系列由 Francois Chollet 創立,目的是測試機器是否具備真正的一般智能,而非死記硬背或過度訓練特定題型。 第三代與前兩代最大的不同在於: 它是完全互動式的 。AI 不是解題,而是要在一個沒有說明書的遊戲環境中自主探索、學習規則、設定目標、並完成長期任務。測試的四個核心能力是: 探索能力(Exploration) :在未知環境中主動試探 世界建模(World Modeling) :理解環境規則並形成心理模型 目標設定(Goal-setting) :自行定義並追求有意義的目標 長期規劃(Long-horizon Planning) :跨多步驟維持行動一致性 各大模型得分:讓人冷靜的數字 以下是目前已知的 ARC-AGI-3 各模型成績: Google Gemini 3.1 Pro Preview: 0.37% (目前最高) OpenAI GPT-5.4(High): 0.26% Anthropic Claude Opus 4.6(Max): 0.25% xAI Grok-4.20(Reasoning Beta): 0.00% 人類基準線: 100% 差距不是些微落後,而是 接近零 。這個結果讓不少在 Hacker News 討論的開發者感嘆:「我們一直在測量的,根本不是智能。」 為什麼這次不一樣? 過去的 AI 基準測試,往往在幾年內就被「攻克」——模型訓練資料越來越接近測試集,得分隨之飆升。ARC-AGI-3 試圖從根本上改變這個循環: 沒有預先給定的目標或規則,AI 必須自己發現 環境是動態的,每...
閱讀完整內容