跳到主要內容

LiteLLM 供應鏈攻擊警告:你的 AI 開發環境可能已被入侵 | LiteLLM Supply Chain Attack: Your AI Dev Environment May Already Be Compromised

By Kit 小克 | AI Tool Observer | 2026-03-27

🇹🇼 LiteLLM 供應鏈攻擊警告:你的 AI 開發環境可能已被入侵

如果你是 AI 開發者,這條消息你必須立刻看:廣泛使用的 Python 套件 LiteLLM 在版本 1.82.8(以及 1.82.7)中被植入惡意程式,會在 Python 啟動時自動竊取你系統上的所有憑證。

什麼是 LiteLLM?為什麼影響範圍這麼廣?

LiteLLM 是一個讓開發者統一呼叫 OpenAI、Claude、Gemini、Mistral 等各家 LLM API 的工具庫,在 AI 開發社群中極為普及。任何在做 LLM 應用、Agent 系統、或 AI 自動化的開發者,幾乎都可能裝過它。

攻擊手法:.pth 檔案的隱密後門

這次攻擊特別惡劣的地方在於手法:惡意程式藏在一個叫做 litellm_init.pth 的檔案裡,放在 Python 的 site-packages/ 目錄。

.pth 檔案的特性是 Python 啟動時自動執行,完全不需要你 import litellm——只要 Python 跑起來,惡意程式就會觸發。攻擊者還用了雙層 base64 編碼混淆,躲避靜態掃描工具。

被偷走的東西

一旦觸發,惡意程式會蒐集並加密傳送到攻擊者伺服器(models.litellm.cloud):

  • 環境變數(所有 API Key、Token、Secret)
  • SSH 金鑰與設定檔
  • 雲端憑證(AWS、GCP、Azure)
  • Kubernetes secrets 與 service account token
  • Docker 認證設定
  • Shell 歷史紀錄
  • 加密貨幣錢包資料
  • 資料庫連線設定

資料以 AES-256 加密,再用攻擊者的 RSA 公鑰封裝傳出——意味著只有攻擊者能解密。

立即採取的行動

  • 確認版本:pip show litellm,若為 1.82.7 或 1.82.8,立即處理
  • 手動刪除:檢查 site-packages/ 中是否存在 litellm_init.pth
  • 輪換所有憑證:凡是這台機器上存在的 API Key、SSH Key、雲端憑證一律視為已洩漏
  • 使用開源修復工具 ghostgap,可自動清除後門並協助輪換 8 個生態系的憑證

注意:單純升級到新版本並不夠——惡意的 .pth 檔案不會被升級動作移除,必須手動清除。

供應鏈攻擊的警示

這次事件再次提醒我們:AI 工具鏈的安全性正在成為攻擊目標。當越來越多開發者把各種 LLM 套件裝進 CI/CD 環境、雲端伺服器、本機開發機,一個被污染的套件就能造成大規模的憑證洩漏。不要因為是「AI 工具」就降低安全戒心。

好不好用,試了才知道——但安全問題,不能等到出事才知道。

🇺🇸 LiteLLM Supply Chain Attack: Your AI Dev Environment May Already Be Compromised

If you are an AI developer, stop what you are doing and read this: the widely-used Python package LiteLLM versions 1.82.8 and 1.82.7 contained malware that automatically steals every credential on your system the moment Python starts.

What Is LiteLLM and Why Does This Matter So Much?

LiteLLM is one of the most popular libraries for calling multiple LLM APIs (OpenAI, Claude, Gemini, Mistral, etc.) through a unified interface. If you have been building AI applications, agent systems, or LLM automation pipelines, there is a good chance you have it installed somewhere.

The Attack: A Hidden Backdoor via .pth Files

What makes this attack particularly nasty is the delivery mechanism. The malicious payload was embedded in a file called litellm_init.pth, placed inside Python's site-packages/ directory.

Python automatically executes .pth files at interpreter startup — no import litellm required. The moment any Python process starts on an affected machine, the credential stealer runs. The payload was also double base64-encoded to evade static analysis tools.

What Was Stolen

Once triggered, the malware collected and exfiltrated to the attacker's server (models.litellm.cloud):

  • All environment variables (API keys, tokens, secrets)
  • SSH keys and config files
  • Cloud credentials (AWS, GCP, Azure)
  • Kubernetes secrets and service account tokens
  • Docker authentication configs
  • Shell history files
  • Cryptocurrency wallet data
  • Database connection configs

The data was AES-256 encrypted and wrapped with the attacker's hardcoded RSA public key before exfiltration — meaning only the attacker can decrypt it.

What You Should Do Right Now

  • Check your version: pip show litellm — if you have 1.82.7 or 1.82.8, act immediately
  • Manually delete: look for litellm_init.pth in your site-packages/ directory
  • Rotate all credentials: treat every API key, SSH key, and cloud credential on that machine as compromised
  • Use the open-source remediation tool ghostgap, which automates cleanup and credential rotation across 8 ecosystems

Critical note: simply upgrading to a newer version is not enough. The malicious .pth file persists after an upgrade and must be removed manually.

A Wake-Up Call for AI Supply Chain Security

This incident is a stark reminder that the AI toolchain is increasingly a target. As more developers install LLM packages into CI/CD pipelines, cloud servers, and local dev machines, a single compromised package can cascade into a massive credential breach. The fact that it took days after the malicious version was published before widespread detection is concerning.

Practical takeaways going forward: pin your package versions, audit site-packages/ periodically, use isolated virtual environments for AI projects, and treat any LLM library with the same scrutiny as any other production dependency.

You won't know until you try it — but with security, you really can't afford to find out the hard way.

Sources / 資料來源

AI 工具觀察站 — 每日精選 AI Agent 與工具趨勢
AI Tool Observer — Daily curated AI Agent & tool trends

留言

張貼留言

這個網誌中的熱門文章

MCP 突破 9700 萬次下載:AI Agent 的「USB-C」為何成為 2026 年最重要的標準? | MCP Hits 97 Million Downloads: Why Model Context Protocol Became the Most Important AI Standard of 2026

By Kit 小克 | AI Tool Observer | 2026-03-27 🇹🇼 MCP 突破 9700 萬次下載:AI Agent 的「USB-C」為何成為 2026 年最重要的標準? 如果你最近在研究 AI Agent,幾乎不可能沒聽過 MCP(Model Context Protocol) 。這個由 Anthropic 提出、現在已捐給 Linux Foundation 的開放協議,在 2026 年 3 月已達到每月 9700 萬次 SDK 下載 ——距離它 16 個月前推出時的 200 萬次,成長了整整 47 倍 。 為什麼這件事值得關注?因為 MCP 正在成為 AI 工具生態的底層標準,就像 USB-C 統一了充電接口一樣。 MCP 到底解決了什麼問題? 在 MCP 出現之前,每個 AI 應用想要連接外部工具(資料庫、API、本地檔案、第三方服務),都必須各自寫一套整合邏輯。這不只重複造輪,還讓每個 Agent 的能力範圍受限於開發者願意花多少時間手動接線。 MCP 的做法是:定義一個 標準化的通信協議 ,讓 AI 模型可以透過統一介面呼叫任何工具。開發者只需要寫一個 MCP Server,就能讓所有支援 MCP 的 AI(Claude、GPT、Gemini 等)直接使用。 現在有多少工具支援 MCP? 目前已有超過 5,800 個公開的 MCP Server 主流 AI 提供商(Anthropic、OpenAI、Google、Microsoft)全部支援 企業端整合加速:Salesforce、Atlassian、GitHub 等都已發布官方 MCP Server 2026 RSA 資安大會將 MCP 安全性列為重要議題 對開發者來說,現在應該怎麼做? 如果你在做任何跟 AI Agent 相關的開發,MCP 不再是「可以考慮」的選項,而是 必須了解的基礎建設 。幾個實用建議: 先看官方文件 :modelcontextprotocol.io 有完整的 server/client 開發指南 找現成的 MCP Server :mcp.so 和 GitHub 上有大量社群貢獻的整合包 注意安全問題 :MCP 的 prompt injection 風險是目前最熱門的研究議題,上線前務必審查 Cla...
閱讀完整內容

歡迎來到 AI 工具觀察站 | Welcome to AI Tool Observer

By Kit 小克 | AI Tool Observer | 2026-03-27 🇹🇼 歡迎來到 AI 工具觀察站 大家好,我是小克(Kit),一個 AI 工具的重度使用者。 這個部落格會每天分享 AI Agent、自動化工具、以及相關生態系的最新動態與觀點。 我的原則很簡單: 好不好用,試了才知道。 主要關注方向: AI Agent 應用案例與趨勢 Claude、ChatGPT、開源模型生態系 MCP(Model Context Protocol)工具與整合 自動化工作流與效率提升 AI 產業觀察與商業分析 每天更新,中英雙語。歡迎追蹤! 🇺🇸 Welcome to AI Tool Observer Hi, I'm Kit — a power user of AI tools. This blog shares daily insights on AI Agents, automation tools, and the broader AI ecosystem. My motto: You won't know until you try it. Topics I cover: AI Agent use cases and trends Claude, ChatGPT, and open-source model ecosystems MCP (Model Context Protocol) tools and integrations Automation workflows and productivity AI industry observations and business analysis Updated daily, bilingual (Chinese & English). Stay tuned! AI 工具觀察站 — 每日精選 AI Agent 與工具趨勢 AI Tool Observer — Daily curated AI Agent & tool trends
閱讀完整內容

ARC-AGI-3 發布:頂尖 AI 全部得分不到 1% | ARC-AGI-3: Every Top AI Model Scored Under 1%

By Kit 小克 | AI Tool Observer | 2026-03-30 🇹🇼 ARC-AGI-3 發布:頂尖 AI 全部得分不到 1% ARC-AGI-3 於 2026 年 3 月 25 日正式發布,這個全新互動式基準測試立刻震驚整個 AI 圈:Gemini 3.1 Pro、GPT-5.4、Claude Opus 4.6 等頂尖模型,全部得分不到 1%。這不只是一個數字,而是對當前 AI 能力極限最直接的一次公開測試。 ARC-AGI-3 是什麼? ARC-AGI(Abstraction and Reasoning Corpus)系列由 Francois Chollet 創立,目的是測試機器是否具備真正的一般智能,而非死記硬背或過度訓練特定題型。 第三代與前兩代最大的不同在於: 它是完全互動式的 。AI 不是解題,而是要在一個沒有說明書的遊戲環境中自主探索、學習規則、設定目標、並完成長期任務。測試的四個核心能力是: 探索能力(Exploration) :在未知環境中主動試探 世界建模(World Modeling) :理解環境規則並形成心理模型 目標設定(Goal-setting) :自行定義並追求有意義的目標 長期規劃(Long-horizon Planning) :跨多步驟維持行動一致性 各大模型得分:讓人冷靜的數字 以下是目前已知的 ARC-AGI-3 各模型成績: Google Gemini 3.1 Pro Preview: 0.37% (目前最高) OpenAI GPT-5.4(High): 0.26% Anthropic Claude Opus 4.6(Max): 0.25% xAI Grok-4.20(Reasoning Beta): 0.00% 人類基準線: 100% 差距不是些微落後,而是 接近零 。這個結果讓不少在 Hacker News 討論的開發者感嘆:「我們一直在測量的,根本不是智能。」 為什麼這次不一樣? 過去的 AI 基準測試,往往在幾年內就被「攻克」——模型訓練資料越來越接近測試集,得分隨之飆升。ARC-AGI-3 試圖從根本上改變這個循環: 沒有預先給定的目標或規則,AI 必須自己發現 環境是動態的,每...
閱讀完整內容