你的 AI 工具是後門 — LiteLLM 40 分鐘,50 萬台機器
🎯 核心重點 (TL;DR)
- TeamPCP 的 LiteLLM 供應鏈攻擊窗口只有 40 分鐘,但足以感染 50 萬台機器、竊取 50 萬組憑證,波及超過 1,000 家 SaaS 公司。攻擊鏈始於 2 月底對安全掃描工具 Trivy 的入侵,目標是偷走 LiteLLM 的維護者憑證。
- Mercor(估值 $100 億的 AI 招募新創)遭 Lapsus$ 宣稱竊走 4TB 資料,含 939GB 源碼、211GB 用戶資料庫、近 3TB 面試影片。Meta 隨後暫停所有與 Mercor 的合作,五起集體訴訟在一週內相繼提出。
- 這次攻擊最值得關注的細節:攻擊者在社群開始通報 GitHub issue 的 102 秒內,用 AI agent 從 73 個帳號發出 88 條機器留言,試圖壓制通報。這是 AI 第一次被記錄用於供應鏈攻擊的即時反制。
- Anthropic 的 Claude Mythos 已自主找到數千個零日漏洞,包括 27 年前的 OpenBSD bug 和 17 年前的 FreeBSD RCE(CVE-2026-4747)。在 Firefox 147 benchmark 上,Mythos 開發出 181 個可用 exploit,是 Claude Opus 4.6 的 90 倍。Anthropic 判定它太危險,拒絕公開發布。
- AI 工具鏈是 2026 年最被低估的系統性資安風險。問題不在 AI 本身,而在於開發者對 AI 套件的信任是『先裝後審』——你的 AI 產品裡有多少個套件,你知道每一個的維護者是誰嗎?
三月二十四日早上 10:39 UTC,LiteLLM 1.82.7 安靜地出現在 PyPI 上。
沒有公告,沒有 changelog。對任何一個掃描套件更新的 CI/CD pipeline 來說,它看起來就是一個普通的版本升級——LiteLLM,那個讓你用一行代碼連接所有 AI API 的工具,每月下載量九千七百萬次,你們公司的 AI 產品大概也在用。
11:25 UTC,PyPI 下架了它。
這 40 分鐘,進入了五十萬台機器。
關鍵數據
- 攻擊視窗:40 分鐘(2026 年 3 月 24 日 10:39–11:25 UTC),兩個惡意版本 1.82.7 和 1.82.8
- 感染規模:50 萬台機器、超過 50 萬組憑證外洩,1,000+ 家 SaaS 公司受影響
- 攻擊鏈:Trivy(2 月底)→ KICS(3 月 21 日)→ LiteLLM(3 月 24 日),三個月、三個工具
- Mercor 損失:4TB 資料(源碼 939GB + 用戶 DB 211GB + 面試影片 ~3TB),Meta 暫停合作
- Mythos benchmark:Firefox 147 上開發 181 個可用 exploit,Claude Opus 4.6 只有 2 個(90 倍)
- Mythos 發現的漏洞:數千個零日,含 27 年前 OpenBSD bug、17 年前 FreeBSD RCE(CVE-2026-4747)
- Codex Security:過去 30 天掃描 120 萬次 commit,找到 792 個 critical + 10,561 個高危漏洞
- Anthropic 的決定:Mythos 不公開發布,僅開放 40 家機構的受控預覽
你的安全工具,先被入侵了
要理解這次攻擊,得從兩個月前說起。
TeamPCP 的第一個目標,不是 LiteLLM。是 Trivy。
Trivy 是 Aqua Security 開源的容器漏洞掃描工具,幾乎每一家有在做 DevSecOps 的公司都在用它——你用它掃你的 image、掃你的 dependency,確認沒有已知漏洞,然後才部署。二月底,TeamPCP 找到一個未完成的憑證輪換缺口,取得了 Trivy GitHub repository 的寫入權限,強推惡意代碼到 76 個版本標籤中的 76 個。
你的安全工具,被用來感染你。
三月二十一日,TeamPCP 用從 Trivy 偷來的 GitHub Personal Access Tokens,轉向了 Checkmarx KICS——另一個靜態分析工具,另一個你用來確保代碼安全的東西。35 個版本標籤,全部被污染。
然後是 LiteLLM。
這次,TeamPCP 的目標更精準:LiteLLM 有 97 million 月下載量,安裝在全球估計 36% 的雲端環境,而且是 AI 開發者最常用來接 OpenAI、Anthropic、Gemini 的 gateway。它不是一個邊緣套件——它是 AI 工具鏈的樞紐。
惡意代碼的藏身方式是 litellm_init.pth,一個 Python 的 .pth 文件。當 Python 解譯器初始化時,它會自動執行這個文件——不需要你呼叫任何東西,裝好套件、跑任何 Python 腳本,它就跑了。payload 用了兩層 base64 混淆,針對的目標清單讓人頭皮發麻:環境變數(API keys、tokens)、SSH keys、AWS/GCP/Azure 憑證、Kubernetes 設定、CI/CD secrets、Docker 設定、資料庫憑證,以及加密貨幣錢包。
如果你的 AI 產品有 API key 存在環境變數裡,那 40 分鐘就夠了。
GitHub 社群在 12:44 UTC 開始回報這個 issue——也就是套件下架後約 80 分鐘。在接下來的 102 秒 內,攻擊者從 73 個已被盜用的開發者帳號,發出了 88 條機器留言,試圖淹沒這個回報。這是有記錄以來,AI agent 第一次被用於供應鏈攻擊的即時反制行動。
Mercor 的 4TB,和 Meta 的決定
LiteLLM 攻擊的受害者名單很長,但最具象徵意義的一家是 Mercor。
Mercor 是一家 AI 招募平台,用 AI 面試、AI 篩選、AI 評分,在 YC 系的新創裡算是做得相當成功的一個,估值十億美元。它用 LiteLLM 連接自己的 AI 面試流程。
Lapsus$ 在 Mercor 確認事件後不到一天,在洩露網站上掛出清單:4TB 資料,含 939GB 平台源碼、211GB 用戶資料庫、接近 3TB 的影片面試錄影和身份認證文件。法院文件顯示,至少 40,000 人的個資受影響。
然後 Meta 宣布暫停所有與 Mercor 的合作。
這個決定的意義不只是商業的。Meta 用 Mercor 的平台外包 AI 訓練的資料標注工作——那些影片面試裡,可能包含了 Meta 訓練流程的操作方法和評分標準。AI 訓練的「秘方」不只在模型權重裡,也在那些你外包給第三方的流程裡。
一週內,五起集體訴訟相繼提出。
| 工具 | 月下載量 | 攻陷時間 | 憑證目標 | 已知受害規模 |
|---|---|---|---|---|
| Trivy(漏洞掃描) | ~8,000 萬 | 2026 年 2 月底 | GitHub PATs、CI/CD tokens | 歐盟委員會等政府機構 |
| KICS(靜態分析) | ~1,200 萬 | 2026 年 3 月 21 日 | GitHub PATs(來自 Trivy) | 35 個版本標籤全污染 |
| LiteLLM(AI gateway) | 9,700 萬 | 2026 年 3 月 24 日(40 分鐘) | 全類型雲端憑證 + API keys | 50 萬台機器、1,000+ SaaS |
| Telnyx SDK(電信) | ~200 萬 | 2026 年 3 月同期 | API keys、通話憑證 | 調查中 |
另一面:Anthropic 有個模型,它不敢放出來
就在 LiteLLM 事件發酵的同一週,Anthropic 宣布了一件事,幾乎沒有人把這兩件事放在一起看。
Project Glasswing。Anthropic 新的旗艦模型 Claude Mythos 的受控預覽計畫。
合作夥伴名單像是科技界的名人錄:Amazon、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorgan Chase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networks。總共 40 個機構。
原因是:Mythos 太危險了,Anthropic 不打算公開發布它。
Anthropic 的 red team 讓 Mythos 自主挖漏洞。它找到了一個 27 年前的 OpenBSD bug。一個 16 年前的 FFmpeg 漏洞。然後是 FreeBSD 裡一個 17 年前的遠端代碼執行漏洞(CVE-2026-4747),允許任何人用 NFS 取得 root 存取——Mythos 完全自主找到並重現了這個漏洞。
在 Firefox 147 的 exploit 開發 benchmark 上,Mythos 開發出 181 個可用的 exploit。Claude Opus 4.6,也就是現在你在用的這一代,只開發出 2 個。
90 倍的差距。
在一個測試裡,Mythos 自主把四個獨立漏洞鏈接在一起,突破了瀏覽器的 renderer sandbox 和作業系統 sandbox——這不是自動化掃描,這是真的在「思考」如何攻擊一個系統。
OpenAI 那邊也在做類似的事。Codex Security(原名 Aardvark)在過去 30 天掃描了 120 萬次 commit,找到 792 個 critical 漏洞和 10,561 個高危漏洞,召回率達 92%。OpenAI 把驅動它的 GPT-5.3-Codex 列為第一個「高資安能力模型」,並且用 Trusted Access for Cyber 框架限制了它的存取方式。
27 年、17 年、16 年——這些漏洞不是 AI 製造的,它們一直在那裡。AI 改變的不是漏洞的存在,而是找到漏洞所需要的時間:從「頂尖安全研究員花幾個月」,壓縮到「模型自主跑幾小時」。防守者和攻擊者都在享受這個壓縮,但攻擊者不需要申請預算。
這個對稱性,才是真正的問題
把兩件事放在一起看:
一邊,TeamPCP 用三個月在開源工具鏈裡慢慢移動,最後用 40 分鐘完成了一次規模驚人的攻擊。他們的整個行動——從 Trivy 到 KICS 到 LiteLLM——依靠的是開發者對「安全工具」和「知名套件」的無條件信任。
另一邊,Anthropic 手上有一個模型,可以自主找到數十年前的漏洞,但它必須放在一個受控的名單裡,因為如果它流出去,沒有人知道攻擊者能用它做什麼。
這個對稱性才是值得記住的事情:防守者的最強工具,被刻意鎖在保險箱裡;攻擊者的工具,隨時可以從 PyPI 下載。
Mythos 不會公開——但沒有人能保證等效能力的模型不會在六個月後出現在某個沒有限制的 API 端點上。
我的判斷
AI 供應鏈安全是 2026 年最被低估的系統性風險,原因不是「沒人知道」——LiteLLM 攻擊在業界引發了很多討論——而是修復成本高得讓人沒有動力第一個做。
問題的結構是這樣的:LiteLLM 有 9,700 萬月下載量,但維護它的核心人員是一個很小的團隊。你的 AI 產品依賴的十個開源套件,每一個可能都有類似的問題。SBOM(Software Bill of Materials,軟體成分清單)這個議題在美國聯邦政府的供應商合規要求裡已經強制推行兩年,但大多數非美國的科技公司仍然沒有把它當成基本功。
好消息是:這次 LiteLLM 攻擊的窗口只有 40 分鐘,PyPI 的安全機制和社群的通報反應速度正在提升。壞消息是:攻擊者正在同步提升——102 秒、88 條機器留言,這已經是 AI 在防禦的反面了。
Mythos 找到那個 27 年前的 OpenBSD 漏洞的時候,那個漏洞一直都在那裡,只是沒有工具快到能大量自動化地找出來。現在有了。
我認為接下來一到兩年,AI 工具鏈的安全審查會變成新創和企業 IT 的必做項目——不是因為大家突然有了危機意識,而是因為一場比 LiteLLM 更大的攻擊,遲早要發生。
五個值得記住的結構性問題
TeamPCP 先攻 Trivy(漏洞掃描)、再攻 KICS(靜態分析),最後才打 LiteLLM。攻擊你的安全工具,比攻擊你的應用更聰明——因為開發者對安全工具的信任比對業務套件更高。
LiteLLM 9,700 萬月下載,但你安裝它的時候審查過維護者的 CI/CD 設定嗎?SBOM(軟體成分清單)在美國聯邦供應商已強制兩年,大多數公司仍然沒有把它當基本功。
102 秒、88 條機器留言,攻擊者在社群開始回報的同一分鐘,就用 AI agent 展開壓制。這是攻防對抗進入 AI 時代的一個具體樣本。
Anthropic 今天選擇不公開 Mythos,是理性的決定。但等效能力的模型遲早會在某個地方公開。防守者的窗口,是在它公開之前把那些 27 年的老洞補掉。
Meta-Mercor 的案例說明:你的 AI 訓練流程裡,有多少「外包」的環節?那些環節裡,有多少你真正審查過供應商的資安能力?AI 供應鏈不只是代碼依賴,也是人的依賴。
LiteLLM 40 分鐘的故事,最後問的是一個你在每個 pip install 之前都沒有問過的問題:
這個套件的維護者,有沒有辦法在你毫無感知的情況下,進入你的生產環境?
每週科技評析
喜歡這篇分析?
每週一篇深度科技洞察,直送你的信箱。不追流量,只寫有誠意的內容。
加入讀者行列
🔒 零垃圾信,隨時取消,完全免費
