LiteLLM被投毒:一次教科書級的供應鏈攻擊
事件概要
2025年3月24日,AI開發者常用的Python庫litellm在PyPI平臺上被發現存在惡意代碼植入,屬於一次教科書級的供應鏈攻擊。
攻擊細節
- 受影響的版本包括litellm 1.82.7與1.82.8。
- 惡意代碼旨在竊取用戶的SSH密鑰、雲服務憑證以及Kubernetes秘密。
- 攻擊者通過供應鏈方式植入惡意代碼,使用戶在使用相關庫時面臨安全風險。
專家警告
知名AI開發者Karpathy已親自發帖警告此事件,並呼籲開發者立即檢查其環境中的litellm版本。
用戶應對建議
若你的開發環境中安裝了litellm,應立即運行命令 pip show litellm 檢查當前版本,以確認是否受到感染。
相關動態
馬斯克也關注此事件,並在社交媒體上轉發相關討論,凸顯其對AI生態安全的重視。