AI开发者社区近日陷入震荡,著名AI科学家Andrej Karpathy亲自发文警告,揭露了一起针对AI供应链的定向中毒攻击。受害者是Python库litellm,该库在GitHub上拥有超过4万颗星,每月下载量接近1亿次。由于该库被视为调用主流模型API的“万能钥匙”,此次事件的影响正如多米诺骨牌效应般迅速波及整个AI工具链。
一旦安装即被感染:恶意代码的“隐形”渗透
此次攻击最隐蔽的地方在于其触发机制。攻击者在litellm的PyPI版本(1.82.7和1.82.8)中植入了恶意的.pth文件。
- 无需调用,自动运行: 只要通过pip安装这两个版本,恶意代码便会在每次Python进程启动时自动执行。即使你只是安装了库而未写任何代码,系统也已悄然为黑客打开后门。
- 全面窃取数据: 恶意代码会疯狂窃取主机上的敏感资产,包括SSH密钥、AWS/GCP云凭证、Kubernetes密钥、加密货币钱包以及所有环境变量(即各种大型模型API密钥),并加密后发送至攻击者服务器。
意外漏洞暴露攻击者身份
这起本可持续数周不被察觉的完美犯罪,因攻击者自身代码的一个简单错误而败露。一名开发者在使用Cursor编辑器的扩展时,发现机器内存突然暴涨。
调查发现,恶意代码触发时会生成指数级增长的进程分叉(Fork Bomb),导致系统崩溃。正是这个导致系统崩溃的漏洞,使安全研究人员得以追踪并揭露此次中毒事件。Karpathy评论称,如果攻击者代码写得更严谨,这场大规模窃取可能至今仍未被发现。
连锁反应:安全工具反成“送刀者”
调查显示,此次攻击源自一系列供应链安全漏洞:攻击团队TeamPCP首先攻破了漏洞扫描工具Trivy,窃取了litellm的发布令牌,随后绕过代码审查,直接将带毒包上传至PyPI。
目前,超过2000款常用AI工具(包括DSPy、MLflow和Open Interpreter)间接依赖该库。安全专家建议:立即运行pip show litellm检查版本号,若高于1.82.6,则视为“完全泄露”,应立即更换所有敏感凭证。
