#安全知识##后门# 这次大型后门植入事件，只是因为攻击者缺乏适当的技巧搞出了bug才偶然被发现的，堪称一次流产的BP机攻击案——被植入的工具本身每月有近亿次下载，也被集成到了许多下游项目里，是国内装各种“虾”的首选依赖之一，这次被很快发现，纯属侥幸。

李飞飞的学生、OpenAI创始成员安德烈·卡帕西转发了前帖（http://t.cn/AXfuUdKC ）并评论：

“软件界的恐怖事件：LiteLLM PyPI 供应链攻击。

只需简单地执行 `pip install litellm`，就足以窃取 SSH 密钥、AWS/GCP/Azure 凭证、Kubernetes 配置、Git 凭证、环境变量（你所有的 API 密钥）、Shell 历史记录、加密钱包、SSL 私钥、CI/CD 机密和数据库密码。

LiteLLM 本身每月有 9700 万次下载，这已经很糟糕了，但更糟的是，这种"传染"会蔓延到任何依赖 LiteLLM 的项目。例如，如果你执行了 `pip install dspy`（它依赖 litellm>=1.64.0），你也会被攻陷。任何其他依赖 LiteLLM 的大型项目也是如此。

据我所知，被植入后门的版本只上线了不到约 1 小时。这次攻击存在一个 bug，正是这个 bug 导致了它的被发现——Callum McMahon 当时在 Cursor 中使用一个 MCP 插件，该插件将 litellm 作为传递依赖引入。当 litellm 1.82.8 安装后，他的机器内存耗尽并崩溃了。所以如果攻击者不是在"氛围编程"（vibe coding）状态下写的这段攻击代码，它可能会潜伏数天甚至数周才被发现。

像这样的供应链攻击基本上是现代软件领域最可怕的噩梦。每次你安装任何依赖时，都可能在其整个依赖树的深处拉取到一个被植入后门的包。对于那些可能有大量依赖的大型项目来说，这尤其危险。每次攻击中窃取的凭证随后可用于接管更多账户并破坏更多软件包。

传统软件工程会让你相信依赖是好的（我们在用砖块建造金字塔），但在我看来，这需要重新评估，这也是为什么我越来越厌恶依赖，而更倾向于在足够简单且可行的情况下，使用 LLM 来"搬运"（yoink）所需功能。”