一句pip install偷光所有金鑰：Karpathy稱LiteLLM投毒為「軟體界最恐怖的事」

OpenAI 創始成員 Andrej Karpathy 發帖稱 AI 代理開發工具 LiteLLM 遭遇的供應鏈攻擊是「現代軟體中基本上最恐怖的事」。LiteLLM 月下載量 9700 萬次，v1.82.7 和 v1.82.8 兩個中毒版本已從 PyPI 下架。 僅一句 pip install litellm 就足以竊取機器上的 SSH 金鑰、AWS/GCP/Azure 雲憑證、Kubernetes 配置、git 憑證、環境變數（含所有 API 金鑰）、shell 歷史記錄、加密錢包、SSL 私鑰、CI/CD 金鑰和資料庫密碼。惡意程式碼通過 4096 位 RSA 加密打包資料外傳至偽裝域名 models.litellm.cloud，還會嘗試在 Kubernetes 叢集的 kube-system 名稱空間中建立特權容器植入持久後門。 更危險的是傳染性：任何依賴 LiteLLM 的專案都會連帶中招，例如 pip install dspy（依賴 litellm>=1.64.0）同樣會觸發惡意程式碼。中毒版本在 PyPI 上僅存活約 1 小時便被發現，原因頗為諷刺：攻擊者自己的惡意程式碼有個 bug，導致記憶體耗盡崩潰。開發者 Callum McMahon 在 AI 程式設計工具 Cursor 中使用一個 MCP 外掛時，LiteLLM 作為傳遞依賴被拉入，安裝後機器直接崩潰，由此暴露了攻擊。Karpathy 評論稱：「如果攻擊者沒有 vibe code 這次攻擊，它可能數天甚至數週都不會被發現。」 攻擊組織 TeamPCP 於 2 月底利用 LiteLLM 的 CI/CD 管道中 Trivy 漏洞掃描器在 GitHub Actions 中的配置缺陷入侵，竊取了 PyPI 釋出令牌，隨後繞過 GitHub 直接向 PyPI 上傳惡意版本。LiteLLM 維護方 Berri AI CEO Krrish Dholakia 表示已刪除所有釋出令牌，計劃轉向基於 JWT 的可信釋出機制。PyPA 釋出安全通告 PYSEC-2026-2，建議所有安裝過受影響版本的使用者假設環境中所有憑證已洩露，應立即輪換。 [1M AI News]