Karpathy发布安全预警：开源库litellm遭投毒 数万凭证恐泄露

2026年3月24日，知名AI开源Python库litellm被曝在PyPI平台遭遇供应链投毒攻击，OpenAI创始成员Andrej Karpathy公开发布安全预警。本次涉事版本为1.82.7、1.82.8，恶意代码无需主动调用即可执行，作为月下载量超95万、GitHub星标超4万的开发者常用工具，本次事件或导致数万份开发者API凭证泄露。

据PyPI平台后台发布记录显示，本次被植入恶意代码的litellm 1.82.7、1.82.8版本分别于UTC时间3月24日10:39、10:52上线，两个版本均携带名为litellm_init.pth的恶意文件——这类pth文件是Python的特殊配置文件，会在Python进程启动时自动加载执行，也就是说，哪怕开发者从未在代码中主动import litellm，只要项目的依赖链中包含这两个版本的litellm，就会自动触发后门程序。

litellm的核心功能是为开发者提供大模型API的统一调用入口，不管是OpenAI的GPT系列、Anthropic的Claude还是国内主流大模型，开发者只要调用litellm的统一接口就能完成多模型适配，无需反复编写不同平台的对接代码，因此被AI开发者群体称为“刚需神器”。

截至事件发生前，litellm在GitHub的星标数量已突破4万，月下载量超过95万，用户覆盖大量独立开发者、AI初创公司及企业技术团队，其开发环境中普遍存储着大模型付费API凭证、云服务密钥等高敏感数据，早已成为黑客眼中的高价值攻击目标。

目前PyPI平台已紧急下架两个涉事版本，litellm官方也在UTC时间3月24日12:17推送了安全版本1.82.9，彻底清理了所有恶意代码。本次攻击从涉事版本上线到被发现下架仅间隔98分钟，但据安全厂商测算，期间两个版本的累计下载量仍超过2.3万次，初步估算或有上万名开发者的敏感凭证已经被盗。

Karpathy也在社交平台公开发声，提醒所有使用litellm的开发者立即核查项目依赖版本，尽快升级到1.82.9及以上版本，同时建议所有曾安装过涉事版本的用户立即轮换所有存储在开发环境中的API密钥、云服务凭证，避免被盗用造成财产损失。

本次事件被安全行业称为“教科书级的供应链攻击”，也暴露出当前AI开发生态的安全短板：随着AI开发效率要求不断提升，开发者普遍高度依赖各类开源组件，类似litellm的通用工具已经成为整个行业的基础设施，一旦出现安全问题影响面极广。

据网络安全机构统计，2025年针对PyPI、npm等开源包管理平台的供应链攻击数量同比增幅达127%，而AI开发者群体普遍更关注模型效果、开发效率，对依赖库的安全核查意识明显不足，本次事件也为整个行业敲响了警钟，后续开源社区、企业及开发者都需要建立更完善的依赖安全校验机制，从源头降低供应链攻击风险。