PyPI发布开发者警示 假冒LiteLLM恶意包窃取云及CI/CD凭证

近日，Python官方第三方软件包仓库PyPI向全球开发者发布安全警示，平台已排查发现多份伪装成热门AI中间件LiteLLM的恶意软件包，可静默窃取开发者本地存储的云服务访问密钥、CI/CD流水线凭证等核心敏感信息。据PyPI安全团队披露，涉事恶意包累计下载量已突破1.2万次，目前已全部做下架处理。

作为当前AI开发领域使用率最高的LLM调用中间件之一，LiteLLM因支持跨平台统一调度OpenAI、Anthropic、DeepSeek等近百家大模型服务接口，被全球超过20万AI开发者纳入技术栈，月均下载量超过300万次，也因此成为恶意投毒者的重点目标。

此次被发现的恶意包属于典型的“旁注攻击”产物，与官方LiteLLM包名仅存在1-2个字符的拼写差异，比如“litelllm”“litelmm”等变体，普通开发者很难通过肉眼识别。不少开发者为了节省时间，会直接复制搜索引擎里的安装命令，若搜索结果被恶意SEO污染，就很容易误装恶意包。

随着生成式AI开发热潮持续升温，Python生态已经成为供应链攻击的重灾区。来自软件安全公司Snyk的2024年安全报告显示，仅2024年上半年，PyPI平台就排查出超过1200个针对AI开发工具的恶意包，同比增长217%，其中超过6成投毒目标为大模型调用中间件、AI训练框架、RAG开发工具等热门AI组件。

这类攻击的危害远大于传统恶意软件，一旦企业的CI/CD流水线被窃密，可能导致整个大模型训练数据集、API接口密钥、用户隐私数据全部泄露，据IBM统计，此类安全事件造成的平均经济损失超过200万美元。不少初创企业为了加快AI应用上线速度，往往跳过依赖包安全审计环节，进一步放大了此类攻击的风险。

针对此次恶意包事件，PyPI联合多家开源安全厂商给出了三点防护建议：
第一，安装依赖包时开启PyPI官方的包名拼写校验功能，优先通过官方GitHub仓库、PyPI官方主页复制安装命令，避免下载拼写相似的恶意包；
第二，定期扫描本地及CI/CD环境中的敏感信息存储，禁止将明文密钥写入.env配置文件，优先使用云服务商提供的密钥管理服务存储敏感信息；
第三，若近期安装过非官方来源的LiteLLM包，需立即重置所有云服务密钥、CI/CD令牌，并对服务器日志进行全面排查，确认是否存在数据泄露行为。

当前全球范围内尚未形成针对AI开源组件的统一安全审核标准，随着大模型应用落地速度加快，AI供应链安全已经成为科技企业重点投入的新方向。包括谷歌、微软、OpenAI在内的多家科技巨头已经在联合推进AI开源组件的签名校验机制，未来所有上架PyPI的AI相关工具包都将需要经过多重安全审计，从源头减少投毒事件的发生。