3月24日，热门大语言模型python库LiteLLM遭恶意投毒，用户简单的pip install litellm即中招，并会泄漏服务器的重要信息：包括SSH Key、云服务密钥、Kubernetes 配置、API Key 和数据库密码。而该python库的月下载高达9700万次。

可是LiteLLM团队应该会有版本的流程把控，github官方代码库也没有问题，攻击者是是如何做到的呢？

TeamPCP首先是攻克了知名的开源安全扫描工具Trivy，使得Trivy在运行时会执行恶意逻辑。
LiteLLM团队在CI/CD pipeline中是使用Trivy进行安全扫描，而当流水线运行时，该恶意逻辑抓取了PYPI_PUBLISH token。
当开发商要向python官方推送版本时，是需要提供令牌验证的。而截取令牌的攻击者，绕过了Github代码，直接向Python官方包索引了带有恶意代码的新版本。

这种攻击方式的恐怖之处在于： LiteLLM 官方仓库的代码看起来是完美的，但用户下载的python包，是带有恶意代码的版本。

而有趣的是，这次的恶意攻击之所以被快速发现，并不是因为防御做得有多好，而是——攻击代码自己出了 Bug。[允悲]
而且是一个低级bug，据推断攻击者可能使用vibe code来写代码，不然以这种攻击力度，不可能出这种低级bug。