一句pip install偷光所有密钥：Karpathy称LiteLLM投毒为「软件界最恐怖的事」

据 1M AI News 监测，OpenAI 创始成员 Andrej Karpathy 发帖称 AI 代理开发工具 LiteLLM 遭遇的供应链攻击是「现代软件中基本上最恐怖的事」。LiteLLM 月下载量 9700 万次，v1.82.7 和 v1.82.8 两个中毒版本已从 PyPI 下架。

仅一句 pip install litellm 就足以窃取机器上的 SSH 密钥、AWS/GCP/Azure 云凭证、Kubernetes 配置、git 凭证、环境变量（含所有 API 密钥）、shell 历史记录、加密钱包、SSL 私钥、CI/CD 密钥和数据库密码。恶意代码通过 4096 位 RSA 加密打包数据外传至伪装域名 models.litellm.cloud，还会尝试在 Kubernetes 集群的 kube-system 命名空间中创建特权容器植入持久后门。

更危险的是传染性：任何依赖 LiteLLM 的项目都会连带中招，例如 pip install dspy（依赖 litellm>=1.64.0）同样会触发恶意代码。中毒版本在 PyPI 上仅存活约 1 小时便被发现，原因颇为讽刺：攻击者自己的恶意代码有个 bug，导致内存耗尽崩溃。开发者 Callum McMahon 在 AI 编程工具 Cursor 中使用一个 MCP 插件时，LiteLLM 作为传递依赖被拉入，安装后机器直接崩溃，由此暴露了攻击。Karpathy 评论称：「如果攻击者没有 vibe code 这次攻击，它可能数天甚至数周都不会被发现。」

攻击组织 TeamPCP 于 2 月底利用 LiteLLM 的 CI/CD 管道中 Trivy 漏洞扫描器在 GitHub Actions 中的配置缺陷入侵，窃取了 PyPI 发布令牌，随后绕过 GitHub 直接向 PyPI 上传恶意版本。LiteLLM 维护方 Berri AI CEO Krrish Dholakia 表示已删除所有发布令牌，计划转向基于 JWT 的可信发布机制。PyPA 发布安全通告 PYSEC-2026-2，建议所有安装过受影响版本的用户假设环境中所有凭证已泄露，应立即轮换。