Andrej Karpathy发安全预警 千万级下载AI库litellm遭供应链投毒

2026年3月，著名AI科学家Andrej Karpathy公开发布安全预警，GitHub星标超4万、月下载量接近1亿次的AI通用调用库litellm遭遇供应链投毒攻击。恶意代码被植入其PyPI平台发布的1.82.7、1.82.8两个版本，无需调用即可自动执行，影响范围覆盖全行业AI工具链，引发全球开发者对开源AI软件安全性的普遍担忧。

3月25日预警发出后，24小时内就有超过3000名开发者在litellm的GitHub官方仓库issue区反馈自己安装了风险版本，其中不乏头部AI公司、高校科研机构的核心技术人员，整个AI开发圈瞬间拉响最高级别的安全警报。

不少网络安全从业者将此次攻击称为AI领域的教科书级供应链攻击，其最核心的威胁在于完全没有触发门槛。

攻击者将恶意代码封装在.pth格式文件中，植入litellm在PyPI平台发布的1.82.7、1.82.8两个版本包内。而根据Python的默认运行规则，只要用户通过pip install命令安装了这两个版本，恶意代码会在每次Python进程启动时自动执行——即便用户从未主动调用过任何litellm相关的代码，设备也会被攻击者完全控制，实现“装上就中招”的窃密效果。

litellm之所以成为攻击者的目标，核心原因是它已经成为AI开发领域的通用API适配层。

对于开发者而言，不管是调用OpenAI的GPT系列、Anthropic的Claude系列，还是国内厂商的通义千问、文心一言等大模型，只要接入litellm就能实现统一接口适配，无需针对不同厂商的API规则分别开发，极大降低了多模型应用的开发成本。据第三方开发者统计，目前超过60%的AI应用项目都引入了litellm作为依赖，其GitHub仓库星标超过4万，月下载量接近1亿次，覆盖从创业公司到头部科技企业的全行业开发者群体，此次攻击的影响范围如同多米诺骨牌般扩散到整个AI工具链。