Andrej Karpathy发安全预警 千万级下载AI库litellm遭供应链投毒

2026年3月，著名AI科学家Andrej Karpathy公开发布安全预警，GitHub星标超4万、月下载量接近1亿次的AI通用调用库litellm遭遇供应链投毒攻击。恶意代码被植入其PyPI平台发布的1.82.7、1.82.8两个版本，无需调用即可自动执行，影响范围覆盖全行业AI工具链，引发全球开发者对开源AI软件安全性的普遍担忧。

3月25日预警发出后，24小时内就有超过3000名开发者在litellm的GitHub官方仓库issue区反馈自己安装了风险版本，其中不乏头部AI公司、高校科研机构的核心技术人员，整个AI开发圈瞬间拉响最高级别的安全警报。

不少网络安全从业者将此次攻击称为AI领域的教科书级供应链攻击，其最核心的威胁在于完全没有触发门槛。

攻击者将恶意代码封装在.pth格式文件中，植入litellm在PyPI平台发布的1.82.7、1.82.8两个版本包内。而根据Python的默认运行规则，只要用户通过pip install命令安装了这两个版本，恶意代码会在每次Python进程启动时自动执行——即便用户从未主动调用过任何litellm相关的代码，设备也会被攻击者完全控制，实现“装上就中招”的窃密效果。

litellm之所以成为攻击者的目标，核心原因是它已经成为AI开发领域的通用API适配层。

对于开发者而言，不管是调用OpenAI的GPT系列、Anthropic的Claude系列，还是国内厂商的通义千问、文心一言等大模型，只要接入litellm就能实现统一接口适配，无需针对不同厂商的API规则分别开发，极大降低了多模型应用的开发成本。据第三方开发者统计，目前超过60%的AI应用项目都引入了litellm作为依赖，其GitHub仓库星标超过4万，月下载量接近1亿次，覆盖从创业公司到头部科技企业的全行业开发者群体，此次攻击的影响范围如同多米诺骨牌般扩散到整个AI工具链。

作为前特斯拉AI负责人、OpenAI创始成员，Andrej Karpathy此次亲自下场发布预警，也侧面印证了此次事件的严重程度。

事实上，近年来开源软件供应链攻击的频率正在快速上升，而AI领域成为重灾区：为了赶产品迭代速度，多数AI创业公司几乎不会对第三方依赖库做代码审计，普遍默认PyPI等公共平台上的下载包是安全的，核心基础工具一旦被攻击者攻破，就会出现“一倒一大片”的安全事故。此次litellm投毒事件，也给所有AI从业者敲响了警钟：开源工具的免费红利背后，同样隐藏着不可忽视的安全风险。

事件曝光后，PyPI平台已经第一时间下架了litellm的两个涉事版本，litellm官方也在3小时内发布了安全修复的1.82.9版本，建议所有用户立即回滚或升级到安全版本。

与此同时，不少头部AI企业已经开始调整内部的依赖管理规则：一方面对所有引入的第三方开源库做全量安全审计，另一方面搭建内部的私有依赖镜像库，避免直接从公共平台拉取未经验证的安装包。有安全专家建议，未来开源AI社区可以建立核心贡献者实名认证、版本代码自动扫描等机制，从源头降低供应链攻击的风险。