🛡️ 安全事件2026-04-01
AI 工具链的「水源投毒」:LiteLLM 遭供应链攻击,数千家企业受波及
🔒 你以为威胁来自前门,结果它从你每天用的开源库里悄悄进来了
📌 今日要闻
2026年4月1日,AI 招聘平台 Mercor 确认遭受网络攻击,起因是其依赖的开源项目 LiteLLM 被植入恶意代码。LiteLLM 是被数千家企业和开发者广泛使用的 AI 模型调用库,相当于各大 LLM API(OpenAI、Anthropic、Google 等)的「万能适配器」。这次供应链攻击将 AI 基础设施安全问题推到了风口浪尖。
···
LiteLLM 是什么?为什么这么危险?
LiteLLM 是一个 Python 开源库,让开发者用统一接口调用 100+ 种 AI 模型(OpenAI、Claude、Gemini、Llama 等),不必为每家 API 单独适配。它极受欢迎——数千家 AI 初创公司和企业都把它作为核心依赖。
⚠️ 危险在哪里
正因为 LiteLLM 坐在「所有 AI 调用的必经之路」上,一旦它被污染,攻击者就能:
• 窃取传入传出的 API Key 和对话内容
• 拦截或篡改 AI 模型的输入/输出
• 在调用者不知情的情况下获取业务数据
• 窃取传入传出的 API Key 和对话内容
• 拦截或篡改 AI 模型的输入/输出
• 在调用者不知情的情况下获取业务数据
···
攻击是怎么发生的?
🔍攻击者黑客组织 Lapsus$ 盯上了高价值依赖库
💉注入恶意代码向 LiteLLM 的 PyPI 包中植入后门,伪装成正常更新
📦自动传播依赖 LiteLLM 的项目在更新依赖时自动拉取被污染版本
💀数据泄露Mercor 等下游企业的 API Key 和用户数据被窃取
这是典型的「供应链攻击(Supply Chain Attack)」——不直接攻击目标系统,而是污染目标信任并使用的上游依赖。近年来,随着 AI 开发生态依赖大量开源工具,供应链已成为新的主要攻击面。
···
🚰 打个比方🚰
不攻自来水龙头,而是污染自来水厂
想象你用的每一瓶矿泉水都来自同一个水厂(LiteLLM)。攻击者不需要挨家挨户投毒——只需要在水厂的某个环节加料,所有用这家水厂的企业都会中招,而你根本不知道。
···
影响有多大?
直接受害者
- Mercor(AI 招聘平台,已确认数据泄露)
- 其他依赖 LiteLLM 的 AI 初创公司
- 使用受污染版本的独立开发者
潜在风险方
- 任何用 LiteLLM 代理多模型调用的企业
- 通过 LiteLLM 代理传输 API Key 的开发者
- 使用自动依赖更新的 CI/CD 流水线
···
为什么 AI 开发者必须关注这件事?
🎯 新的攻击范式
以往攻击针对业务系统本身(数据库、服务器)。现在攻击者转向「AI 工具链」——因为 AI 应用的开源依赖多、更新频繁、开发者安全意识相对薄弱。
🔑 API Key 的高价值
LLM 的 API Key 本质上等于「钱包+访问权限」。一旦泄露,攻击者可以刷空费用额度,或调用企业级 Claude / GPT-4 做恶意用途。
📋 开发者应对清单
• 锁定依赖版本(pin dependencies),不使用 latest
• 检查 LiteLLM 当前使用版本是否在受影响范围
• 定期审查第三方包的 PyPI 发布记录
• 考虑使用依赖安全扫描工具(如 socket.dev)
• 检查 LiteLLM 当前使用版本是否在受影响范围
• 定期审查第三方包的 PyPI 发布记录
• 考虑使用依赖安全扫描工具(如 socket.dev)
···
一句话总结
LiteLLM 供应链攻击是一个清醒的信号:AI 开发者不只要防「模型安全」,更要防「工具链安全」——你每天 pip install 的那个库,可能就是下一个攻击入口。
📰 来源:TechCrunch · AIBase · The Meridiem · 2026年4月1日