LiteLLM資安事件的起因為何？

LiteLLM在2026年3月24日遭駭客組織TeamPCP發動供應鏈投毒攻擊。駭客利用LiteLLM在其CI/CD流水線中使用了已被入侵的Trivy工具，取得LiteLLM的發布權限，並在PyPI官方倉庫發布了帶有惡意程式碼的1.82.7與1.82.8版本。

LiteLLM使用者應如何應對此次資安事件？

受影響的使用者應立即檢查LiteLLM版本（惡意版本為1.82.7與1.82.8），並檢查是否存在litellm_init.pth檔案。若確認安裝過惡意版本，必須立即強制更換所有雲端金鑰、SSH私鑰、資料庫密碼及Kubernetes權杖，並將LiteLLM降級至1.82.6安全版本，同時對過去48小時內的CI/CD流水線進行安全審計。

LiteLLM遭供應鏈投毒每月9500萬次安裝曝險：AI生態系資安警鐘大響

Q: 此次LiteLLM攻擊竊取了哪些機密資料？

被竊取的資料範圍極廣，涵蓋了SSH金鑰、AWS與GCP雲端憑證、Kubernetes機密、數位貨幣錢包以及CI/CD權杖等企業核心機密。駭客並透過高強度加密和偽造網域進行資料回傳。

一個為AI開發者提供便利的工具，竟成為駭客發動精密攻擊的跳板，這究竟揭示了AI基礎建設哪些潛在的資安漏洞？在AI技術高速發展的今天，企業對API整合的依賴日益加深，然而，當這些核心工具面臨供應鏈攻擊時，其潛在的破壞力遠超乎想像。

現象觀察：AI API核心閘道遭駭，影響層面深廣

近期，AI基礎建設領域傳出一起震驚業界的重大資安事故。根據科技媒體cyberkendra於2026年3月24日發布的報告指出，每月平均安裝量高達9500萬次的開源AI API管理工具LiteLLM，遭受了駭客組織的供應鏈投毒攻擊。這款工具因其能讓開發者透過統一格式，輕鬆調用OpenAI、Anthropic、Azure等逾百家服務商的API而廣受歡迎，卻也因此成為駭客眼中掌握各類資源鑰匙的「肥羊」，一旦攻破，影響範圍可謂牽一髮而動全身。

根據cyberkendra報告，每月高達9500萬次的安裝量，使LiteLLM成為AI開發生態系中的關鍵節點，其資安事件的衝擊不容小覷。

這起事件不僅讓數千家企業的AI架構面臨嚴峻風險，也再次敲響了AI時代供應鏈資安防護的警鐘。當一個廣泛使用的開源工具被惡意程式碼滲透，其背後串聯的所有服務與資料都可能曝露在危險之中，這對於追求AI創新與效率的企業來說，無疑是一記當頭棒喝。

原因剖析：供應鏈漏洞成破口，駭客手法精密

此次攻擊的技術手段展現了駭客組織的高度隱蔽性與精密性。攻擊者於2026年3月24日在Python套件管理工具PyPI的官方倉庫中，發布了兩個帶有後門的惡意版本，分別是1.82.7與1.82.8。這兩個版本攜帶了複雜的三階段攻擊負載：首先透過憑證收集器竊取資料，隨後利用Kubernetes橫向移動工具在集群節點間滲透，最後植入偽裝成系統遙測服務的持久後門。

其中，1.82.7版本巧妙地將惡意程式碼隱藏在proxy_server.py檔案中，使用者只需匯入該模組，程式碼便會靜默執行。更令人擔憂的是1.82.8版本，它利用了Python的.pth配置文件特性。由於Python解釋器在啟動時會自動處理此類檔案，這意味著只要有任何Python的調用，惡意軟體就會自動觸發，使用者甚至無需手動匯入模組或進行任何互動，整個運行環境便會被完全感染，防不勝防。

話說回來，駭客是如何取得LiteLLM的發布權限呢？根據資安公司Endor Labs的調查揭露，此次攻擊的幕後黑手是駭客組織TeamPCP。這個組織本月稍早曾入侵過Aqua Security的Trivy掃描器。有趣的是，LiteLLM在其自身的CI/CD（持續整合/持續部署）流水線中，恰好使用了已被入侵的Trivy工具，這便讓TeamPCP有機可乘，成功獲取了LiteLLM的發布權限，進而將帶毒版本推送至官方倉庫，形成了一條環環相扣的供應鏈攻擊鏈。

Endor Labs調查指出，駭客組織TeamPCP利用先前對Trivy掃描器的入侵，進一步滲透LiteLLM的CI/CD流程，成功發布惡意版本。

影響評估：機敏資料大規模外洩，企業資安拉警報

這起攻擊造成的資料外洩範圍極廣且極為機密。為了避開流量偵測，駭客將所有外傳資料進行了AES-256-CBC與RSA-4096高強度加密，並透過偽造的誤導性網域models.litellm.cloud進行回傳。被竊取的資料包括了SSH金鑰、AWS與GCP雲端憑證、Kubernetes機密、數位貨幣錢包，以及CI/CD權杖等企業核心機密資訊。這些資料一旦落入駭客手中，可能導致企業的雲端基礎設施被全面控制、敏感數據被竊取、甚至金融資產受損。

對於受影響的企業而言，這不僅是技術層面的挑戰，更是商譽與信任危機。企業的AI應用可能因為這些憑證的洩漏而面臨服務中斷、數據遭篡改或濫用的風險，其後果不堪設想。這也突顯了開源工具在帶來便利的同時，也伴隨著供應鏈中任何環節都可能成為攻擊目標的潛在威脅。

趨勢預測：AI時代供應鏈防護，刻不容緩的課題

鑑於這類供應鏈攻擊日益精密且難以察覺，企業在擁抱AI技術的同時，必須將資安防護提升到前所未有的高度。這起LiteLLM事件再次提醒我們，過度自信恐將釀成資安破口。那麼，面對類似的供應鏈攻擊，使用者應如何自保呢？

對於已安裝惡意版本的LiteLLM使用者，資安專家建議應立即採取以下行動以挽回損失：

確認版本：在終端機執行命令pip show litellm | grep Version，確認當前安裝的LiteLLM版本。同時檢查site-packages目錄下是否存在litellm_init.pth檔案，若有則極可能已受感染。
更換所有憑證：一旦確認安裝過惡意版本，必須立即強制更換所有雲端金鑰（如AWS、GCP憑證）、SSH私鑰、資料庫密碼及Kubernetes權杖。
降級至安全版本：目前惡意版本已從倉庫撤下，最後一個確認安全版本為1.82.6。建議使用者立即將LiteLLM降級至此版本。
安全審計：針對過去48小時內執行過的所有CI/CD流水線進行全面的安全審計，以確保沒有殘留的持久化後門。

從長遠來看，這類攻擊預示著AI供應鏈資安將成為未來企業面臨的核心挑戰。企業不僅要加強自身的內部資安防護，更要對所使用的第三方開源工具及服務進行嚴格的審查與監控。建立一套完善的供應鏈資安管理機制，定期審核開源套件的安全性、實施多層次驗證、並對CI/CD流程進行沙箱化隔離，將是防範未來潛在攻擊的關鍵。唯有如此，AI技術的發展才能在安全的基石上持續前行。