对LiteLLM的供应链攻击——每天下载300万次——在PyPI上入侵了1.82.8版本约40分钟,用恶意软件感染了超过40,000次下载,该恶意软件旨在窃取API密钥、云凭证、SSH密钥和加密钱包。FutureSearch研究员Callum McMahon在通过Cursor启动本地MCP服务器后发现了这次攻击,当时他的48GB Mac卡住了,而Cursor自动拉取了被入侵的包。
这次攻击与典型的供应链攻击不同,因为LiteLLM处于大多数AI基础设施堆栈的核心。当你的统一API网关覆盖63+个AI提供商被入侵时,攻击者不仅获得你的OpenAI密钥——他们获得一切。AWS凭证、Kubernetes配置、shell历史记录,应有尽有。我们两周前在Trivy扫描器攻击中看到了这种模式,现在它正在加速。AI工具已成为首选的新攻击向量。
讽刺的是,恶意软件的草率实现使我们免受更严重的损害。.pth文件启动器创建了一个递归fork炸弹,在几分钟内使受感染的系统崩溃,立即警告了受害者。Andrej Karpathy指出,如果没有这个编码错误,数据泄露可能会默默运行数周或数月。PyPI安全团队在McMahon报告后40分钟内隔离了该包。
开发者应该立即使用Point Wild的开源"who-touched-my-packages"扫描器或FutureSearch的litellm-checker工具审计他们的环境。更重要的是,将你的AI依赖项固定到特定版本,并为生产部署使用私有包镜像。AI供应链正在受到积极攻击——相应地对待它。