GitHub 上四萬顆星，日均下載 340 萬次，幾乎是 AI 開發(fā)者電腦里都會出現的基礎設施。

LiteLLM，昨晚被黑了。

只要你用過它，或者用了任何一個間接依賴它的工具，你電腦上的東西就會被打包帶走：遠程連接的私鑰、AWS/GCP/Azure 各種云賬號、部署平臺密鑰、加密貨幣錢包、數據庫密碼，還有你放在 .env 文件里的所有 API Key。

打包好，發(fā)走，目的地是黑客提前架好的服務器。

不需要點任何釣魚鏈接，不需要下載任何可疑文件，甚至不需要犯任何錯誤；代碼裝上，它就自己跑了。

根據 BleepingComputer 報道，有消息人士透露，不到 1 小時，約 50 萬臺設備中招。

但整件事最離譜的地方在于，這波攻擊之所以被發(fā)現，靠的完全是運氣。黑客自己寫的惡意代碼里有個 bug，把一臺機器的內存直接撐爆了。

計劃堪稱完美，結局屬實拉胯。

挑了最理想的目標，留了個最糟糕的 Bug

先說說 LiteLLM 是什么來頭。

官網寫著「Y Combinator 支持」，主要的功能是用同一套代碼接入 ChatGPT、Claude、Gemini 等幾十個大模型，每月下載量接近 1 億次。

項目官網：https://www.litellm.ai/

它的位置，剛好卡在用戶和所有 AI 工具之間。大量 MCP 插件、Agent 框架，底層都依賴這個 Python 包。就算你從來沒主動裝過 LiteLLM，只要你用了任何一個依賴它的庫，你就已經暴露了。

你甚至不知道自己裝了它。但它就在那兒。

黑客組織 TeamPCP 顯然也看中了這一點。他們沒有直接去攻擊 LiteLLM 的服務器，而是選了一條更陰的路：供應鏈攻擊。

怎么理解？普通黑客攻擊，是去撬你家門鎖。供應鏈攻擊，是在鎖出廠之前，就已經設置了一個缺口。

他們盯上的突破口，是 Trivy。這是一個開源安全掃描工具，相當于代碼發(fā)布流水線上的保安，前不久 Trivy 也曾報告遭受過 AI 攻擊，一度清空了項目倉庫。

黑客也是看中了這點，篡改了 Trivy 的自動提交配置。當 LiteLLM 照常發(fā)布，毫無防備地拉取這個被污染的「保安」進行安全檢查時，黑客順手就拿到了發(fā)布包的密鑰。

LiteLLM 還取得了多項安全認證

接下來的操作就很絲滑了。拿著官方密鑰，他們大大方方地發(fā)布了帶有惡意代碼的 LiteLLM 1.82.7 和 1.82.8 版本。因為簽名是真的，所有常規(guī)校驗全部通過。在系統(tǒng)看來，這個有劇毒的安裝包，就是一個有著官方簽章的安全發(fā)行版。

沒有任何異常提示。沒有任何紅旗。什么都沒有。

更讓人后背發(fā)涼的是這次的投毒手法，黑客利用了 Python 的啟動鉤子機制。

簡單說，你不需要寫一行代碼來引入這個有毒的庫。只要在終端敲一行 pip install，惡意代碼瞬間激活。毫不夸張的說，只要你啟動了 Python，它就在跑。

相關的事件報告：https://snyk.io/articles/poisoned-security-scanner-backdooring-litellm

它會掃你本地的環(huán)境變量、遠程連接密碼，精準抓取 AWS、Google Cloud 的連接憑證。如果你是 AI 開發(fā)者，它會翻遍你本地存的所有大模型 API Key。如果是加密貨幣玩家，比特幣、以太坊錢包的助記詞，也會被打包成一個名叫 tpcp.tar.gz 的壓縮包，加密處理后，悄悄發(fā)送到黑客前一天剛注冊的偽裝域名 models.litellm.cloud 上。

攻擊鏈路，教科書級別，但是毀在了一個無限套娃的 bug 上。

被一臺風扇狂轉的電腦拯救的開源社區(qū)

FutureSearch 的開發(fā)者 Callum McMahon，需要在 Cursor 里跑一個 MCP 插件。插件安裝依賴的時候，順帶拉了最新版的 LiteLLM。

然后，他的電腦風扇開始發(fā)瘋。系統(tǒng)徹底卡死。

排查了一陣后，他在 LiteLLM 1.82.8 里找到了元兇：一段隱藏的惡意代碼，每次 Python 啟動都會自動運行，瘋狂啟動子進程，子進程再觸發(fā)同樣的惡意代碼，然后繼續(xù)啟動新的子進程。

套娃，一直套，直到內存被榨干。

病毒原本的計劃是安靜潛伏，悄悄打包你的密鑰帶走。結果因為這個失控的遞歸 bug，直接把電腦卡到明面上了。

有網友說，這黑客的攻擊代碼，搞不好也是 AI vibe coding 出來的。考慮到 bug 的低級程度，這個猜測的可信度其實不低。

目前，反饋這個問題的帖子有超過 560 條回復，里面大多數是機器人在為自己的主人，推銷相關的安全產品

順藤摸瓜之后，這位開發(fā)者火速沖到 LiteLLM 的 GitHub 倉庫提交了問題報告，試圖給整個開源社區(qū)拉響警報。

但他沒想到的是，102 秒內，黑客動用了手里的開發(fā)者僵尸賬號網絡，往帖子下面灌了 88 條無關評論，試圖把真正的警告淹沒在垃圾信息里。

緊接著，黑客直接登錄了竊取來的 LiteLLM 維護者賬號，用管理員權限強行關閉了討論區(qū)。

上下滑動查看更多內容

截至目前，惡意包已被官方隔離，LiteLLM 團隊緊急重置了所有密鑰。但在那失去防備的 3 個小時里，沒有人知道，已經有多少開發(fā)者的密鑰流進了暗網。

開源生態(tài)的安全，有時是「皇帝的新衣」

這件事值得談的不只是 LiteLLM 本身，而是它暴露出的整個生態(tài)的結構性潰敗。

在軟件開發(fā)領域，「不要重復造輪子」幾乎是圣經級別的準則。有現成的庫就用現成的，把精力放在真正要做的事情上。這套邏輯讓整個行業(yè)的效率飛速提升。

但代價是什么？

隨便打開一個 Python 項目，requirements.txt 里幾十上百個依賴。每個依賴又有自己的依賴。真正的「依賴樹」深達七八層，橫跨幾百個包，維護者分布在地球的各個角落，有的是大廠工程師，有的是在讀學生，有的可能三年沒登錄過 GitHub 了。

你以為你在信任一個包。你實際在信任一整棵你看不見全貌的樹上的每一片葉子。

這棵樹上任何一個節(jié)點被攻陷，危險都會順著依賴關系一路流到你的機器上。而你對此的防御手段是什么？看一眼包名，確認下載量夠大，然后按回車。

開源雖然公開透明，但不一定等于安全，他需要大量精力去審核

開源安全的底層假設是「足夠多的眼睛在看，所有的 bug 都無處可藏」。但 2026 年的現實是，不是看的眼睛不夠多，而是沒有人再用眼睛看了。

PyPI 沒有強制的包簽名驗證機制，npm 的 provenance 功能普及率極低。大多數包管理器對「這個版本是不是真的由官方發(fā)布的」這個最基本的問題，至今無法給出可靠的回答。

安全基礎設施還停留在「Linus 定律」的田園時代。而 AI 帶來的新用戶，正在以每月數百萬的速度涌入。

門是 AI 幫你推開的，門后面可能有坑

現在，事情變得更魔幻了。AI 正在以前所未有的速度放大這個信任黑洞。

以前裝一個包，好歹是開發(fā)者自己查了文檔、比較了方案之后做出的選擇?，F在的流程是：打開 Cursor，告訴 AI「幫我做個 XX 功能」。AI 寫好代碼，發(fā)現報錯了，然后補一句 pip install litellm，終端開始跑，你看了一眼，按下回車。

就這么一下。

你不知道它裝了什么。你不知道它為什么裝這個。你只知道 AI 說這樣能修好，你就確認了。

更魔幻的是，這種行為模式已經不限于開發(fā)者了。連安裝 OpenClaw 這種極客項目，需要敲終端命令行，都出現在了微信官方應用里，大大方方寫著 npx -y。「人人都能成為開發(fā)者」這句話翻譯一下就是：人人都能成為供應鏈攻擊的受害者。

AI 降低了寫代碼的門檻，也降低了被投毒的門檻。而且降低的幅度完全不對等。寫代碼那邊是從「需要學三年」變成「說一句話」，被投毒這邊是從「需要你犯一個錯誤」變成「你什么都不用做」。

上下滑動查看更多內容

Karpathy 也對這件事發(fā)了評論。他說自己越來越不愿意用第三方依賴，開始傾向于讓 LLM 直接把功能代碼生成出來，自己造，不裝黑盒。

這個思路在個人層面完全說得通。但放到行業(yè)層面，它是一個「何不食肉糜」式的建議。

能讓 LLM 從零生成一套完整實現的人，本來就不是供應鏈攻擊的主要受害群體。真正的受害者是那些連 pip install 裝了什么都看不懂的新用戶，是被 AI 編程工具帶進來的、對「依賴」這個概念毫無認知的百萬新開發(fā)者。

告訴他們「你應該自己寫代碼而不是裝依賴」，約等于告訴一個剛拿到駕照的人「你應該自己造車而不是買車，因為買來的車可能有缺陷」。

門是 AI 幫你推開的，現在又告訴你，門后面可能有坑，你最好自己造一扇新的。

問題的根源不在于個人選擇，而在于整個生態(tài)的信任基礎設施已經跟不上 AI 帶來的用戶增長速度。這個剪刀差，才是 LiteLLM 事件真正讓人不安的地方。

整個文件系統(tǒng)都是攻擊面

有網友說，這次的黑客只想著偷 API Key，格局還是小了。

更高級的玩法是悄悄污染你的 ~/.claude 目錄、AI Agent 的 skills 文件夾，甚至你每天早上讓 AI 幫你處理的那份 PDF 簡報。整個文件系統(tǒng)都是攻擊面。任何可能進入 AI 上下文的文件，都可能是一個攻擊載體。因為 AI 不區(qū)分「可信輸入」和「不可信輸入」，對它來說，一切都是上下文。

上下滑動查看更多內容

前段時間就出過一件事。一位 Meta 工程師讓內部的 Agent 工具，分析一個內部論壇上的技術問題。Agent 分析完，沒有經過任何確認，自己跑到論壇上發(fā)了條回復。

另一位工程師看到這條回復，照著操作了，觸發(fā)了一連串連鎖反應。最終導致 Meta 內部大量系統(tǒng)在將近兩個小時內，對沒有權限的員工完全開放。

沒有黑客。沒有惡意代碼。沒有任何人試圖攻擊任何東西。

一個 AI Agent 自作主張發(fā)了條消息，一個工程師照做了，事情就失控了。Meta 給了 Sev 1，內部第二高級別的安全事故。

傳統(tǒng)安全模型假設攻擊者是外部的、有意圖的、需要突破防線的。而 AI 時代的安全事故可以是內部的、無意圖的、根本不需要突破任何東西。

馬斯克倒是很冷酷地點評了一句，「買家自負」。他的粉絲秒回：「沒錯 Elon！這就是為什么特斯拉要從頭到尾自主打造 Optimus！」

上下滑動查看更多內容

2026 年，最危險的操作是你什么都沒點

LiteLLM 這件事會被修復，密鑰會被重置，惡意包會被下架。但它暴露出來的結構性問題不會因此消失。

AI 把「信任一個軟件」這件原本就充滿風險的事情，變成了一個完全無感的動作。你不再需要主動選擇信任誰，因為 AI 替你選了，你只需要確認。

而確認的方式，就是按一下回車。

我們能做的，除了每次按下 Enter 接受 AI 建議的時候多停一秒想想「這個工具，我是不是非用不可」，大概也只能等待一種新的安全范式出現。

但在它出現之前，我們正處在一個尷尬的空窗期：工具的能力已經是 2026 年的，安全意識和基礎設施還停在 2019 年。

在過去，最危險的操作是點開一個釣魚鏈接。在 2026 年，最危險的操作是你什么都沒點，只是和往常一樣按了一下回車。

我們正在招募伙伴

簡歷投遞郵箱hr@ifanr.com

?? 郵件標題「姓名+崗位名稱」（請隨簡歷附上項目/作品或相關鏈接）