Mercor旗下开源项目LiteLLM遭供应链攻击 数千企业受波及

2026年4月，估值达100亿美元的AI独角兽Mercor证实旗下开源项目LiteLLM遭遇黑客组织TeamPCP发起的供应链攻击，波及数千家下游企业。主打简化OpenAI、Anthropic等主流大模型API调用逻辑的LiteLLM日均下载量达百万级，目前勒索组织Lapsus$宣称窃取其内部数据并公开敏感信息，Mercor已启动第三方调查及补救措施。

这起安全事件的预警最早出现在海外开源社区，4月1日凌晨就有开发者反馈，最新版本的LiteLLM安装包存在异常的远控代码逻辑，相关反馈很快得到Mercor官方的响应。

作为估值100亿美元的AI招聘赛道独角兽，Mercor旗下的LiteLLM是其对外输出的核心开源工具之一。官方后续发布的调查报告显示，此次攻击由境外黑客组织TeamPCP发起，攻击者通过破解项目维护者的账户权限，向LiteLLM的最新稳定版本中注入了恶意窃取代码。

作为目前开发者调用大模型API的主流工具包，LiteLLM的日均下载量超过100万次，核心功能是封装了OpenAI GPT系列、Anthropic Claude系列等数十款主流大模型的调用接口，开发者无需适配不同平台的参数规则，仅用一套代码就可以完成多模型调用，因此被大量AI应用开发企业列为核心依赖组件。恶意代码虽然在上线后3小时内就被识别并下架，但仍然有不少企业的开发环境已经拉取了受感染的版本，最终波及下游数千家企业。

就在Mercor公布供应链攻击事件的同时，知名勒索组织Lapsus$也在境外暗网平台发布公告，宣称已经窃取了Mercor的内部核心数据，并且公开了首批样本，包括内部Slack沟通记录、客户工单系统截图、内部AI招聘系统的对话视频等内容。