月安裝量 9500 萬次的 API 開源工具 LiteLLM 遭駭客投毒，OpenAI 與 Anthropic 使用者全受害

AI 基礎建設領域傳出重大資安事故。根據科技媒體 cyberkendra 於 3 月 24 日發布的報告，每月平均安裝量高達 9500 萬次的 AI API 管理工具 LiteLLM，近日遭到供應鏈投毒攻擊。駭客將惡意程式碼植入官方套件庫中，導致數千家企業的 AI 架構面臨風險。

LiteLLM 是一個極受歡迎的開源 AI API 閘道器，開發者只需透過統一的格式，就能調用包含 OpenAI、Anthropic、Azure 在內超過 100 家服務商的 API。然而，這項方便的工具卻成為駭客眼中的肥羊，精準打擊掌握各類資源鑰匙的核心節點。

惡意版本具三階段攻擊，自動感染無需執行

這次攻擊在技術手段上表現出極高的隱蔽性。攻擊者於 2026 年 3 月 24 日在 PyPI 官方倉庫發布了兩個帶有後門的版本，分別為 1.82.7 與 1.82.8。這兩個惡意版本攜帶了複雜的三階段攻擊負載：首先透過憑證收集器竊取資料，隨後利用 Kubernetes 橫向移動工具在集群節點間滲透，最後植入偽裝成系統遙測服務的持久後門。

其中，1.82.7 版本將惡意程式碼隱藏在 proxy_server.py 檔案中，使用者只要匯入該模組，程式碼就會靜默執行。而 1.82.8 版本則更進一步，利用了 Python 的 .pth 配置文件特性。由於 Python 解釋器在啟動時會自動處理此類檔案，這意味著惡意軟體會在任何 Python 調用時觸發，使用者無需手動匯入任何模組或進行互動，整個環境就會被完全感染。

大量機密外洩，駭客組織 TeamPCP 疑為幕後黑手

為了避開流量偵測，駭客將所有外傳資料進行 AES-256-CBC 與 RSA-4096 高強度加密，並透過偽造的誤導性網域 models.litellm.cloud 進行回傳。根據資安公司 Endor Labs 的調查，被竊取的資料範圍極廣，涵蓋了 SSH 金鑰、AWS 與 GCP 雲端憑證、Kubernetes 機密、數位貨幣錢包以及 CI/CD 權杖等核心機密。

調查發現，此次攻擊由駭客組織 TeamPCP 發起。該組織本月早些時候曾入侵過 Aqua Security 的 Trivy 掃描器。由於 LiteLLM 在自身的 CI/CD 流水線中使用了已被入侵的 Trivy 工具，導致 TeamPCP 獲取了 LiteLLM 的發布權限，從而成功推送帶毒版本。

使用者應立即檢查版本並更換金鑰

目前惡意版本已從倉庫撤下，最後一個安全版本確認為 1.82.6。資安專家建議受影響的使用者應立即採取行動以挽回損失。

首先，請在終端機執行命令 pip show litellm grep Version 確認當前版本，並檢查 site-packages 目錄下是否存在 litellm_init.pth 檔案。如果確認安裝過惡意版本，必須立即強制更換所有雲端金鑰、SSH 私鑰、資料庫密碼及 Kubernetes 權杖。此外，建議使用者將 LiteLLM 降級至 1.82.6 版本，並針對過去 48 小時內執行過的所有 CI/CD 流水線進行安全審計，確保沒有殘留的持久化後門。

過去也有類似案例發生在開源社群中，這再次提醒開發者，在追求 AI 開發效率的同時，供應鏈安全防護絕不能掉以輕心。