跳到主要內容
Lab Grimoire
TW EN
請喝咖啡
你的 AI 工具鏈裡可能藏了後門:2026 供應鏈攻擊實錄
AI 資安

你的 AI 工具鏈裡可能藏了後門:2026 供應鏈攻擊實錄

本頁目錄

導讀:2026 年 3 月,litellm 被植入後門,竊取 API 金鑰與雲端憑證。從上架到隔離僅 3 小時

三小時的窗口

你上一次執行 pip install 是什麼時候?

2026 年 3 月 24 日,攻擊組織 TeamPCP 在 PyPI 上架竄改版 litellm 1.82.71.82.8。litellm 是統一多模型介面,讓開發者用同一套程式碼呼叫 Claude、GPT、Gemini。不論你有沒有聽過這個名字,只要你用過任何支援「切換 AI 模型」的開發工具,它極可能藏在你的依賴樹某一層——安靜,不起眼,卻幾乎無所不在。

惡意程式碼掃描並竊取環境中所有 API 金鑰、雲端憑證、Slack token、加密貨幣錢包。1.82.8 更植入持久性後門,每次 Python 啟動時自動觸發。**從上架到隔離:3 小時。**短暫得難以置信。

先拆掉警報器,再開後門

這次攻擊最值得注意的,不是後門本身,而是順序。

3/19,攻擊者先污染了 Aqua Security 的 Trivy——一款被廣泛用於掃描容器漏洞的安全工具。先讓掃描安全問題的工具出問題,就像是偷竊前先剪掉監視器電線,諷刺得幾乎算是一種藝術。3/21,Checkmarx 的 AST GitHub Actions 接著中招。3/24,才輪到 litellm。

先讓你的警報系統失靈,再打核心目標。等 litellm 被植入後門時,許多自動化安全掃描已在悄悄跑著被竄改的程式碼了。

TeamPCP Supply Chain Attack Timeline: Trivy → Checkmarx → litellm

AI 工具生態的結構性脆弱

這次事件照出了整個 AI 工具生態的一個結構性問題:依賴鏈很深,但安全審查極淺。

Memento-Skills(自主代理框架)直接依賴 litellm,初始安裝未釘版本。它上架的日期是 2026 年 3 月 19 日——正好是攻擊開始的那天。**9 天累積 785 顆星,卻只有 3 個 commits、1 個貢獻者。**攻擊窗口內的使用者,幾乎沒有任何防護。

oh-my-claudecode 有 13,700+ GitHub Stars,安裝時卻會直接寫入 ~/.claude/CLAUDE.md——你的 AI 助理的核心設定檔。若這份檔案被竄改,你的 AI 助理就不再是你原來的那個了。同系列工具已被資安研究者標記存在 prompt injection 風險。Claude Code 本身也有兩個 CVE:CVE-2025-59536(任意 shell 執行)與 CVE-2026-21852(顯示信任提示前即發出 API 請求)。

你可能從未打開過這些工具的安裝腳本。大多數開發者不會。這正是攻擊者所依賴的。

三件事,現在就做

1. 檢查版本:打開終端機,執行 pip show litellm。若版本是 1.82.7 或 1.82.8,你的環境已被入侵——升級套件不夠,所有曾暴露的 API 金鑰與憑證都必須輪換。安全版本:≤ 1.82.6 或 ≥ 1.82.9。

2. 審查安裝腳本:任何會寫入 ~/.claude/~/.config/ 等全域設定的工具,先看腳本再裝。特別警惕 curl | bashnpx skills add <something> 這類一行安裝指令——它們在你的機器上,以你終端機的完整權限執行遠端程式碼。

3. 釘定版本:在 requirements.txtpyproject.toml 中,為每個套件指定精確版本號,不用 >= 開放式約束。CI/CD 自動拉取最新版,正是供應鏈攻擊所利用的習慣。

GitHub Stars 是社群認可,不是安全背書。開源不代表有人審查過程式碼。某一環斷了,整條鏈就斷了。

你現在使用的 AI 工具裡,有幾個你真的知道它在你機器上裝了什麼?


References

  1. ReversingLabs — TeamPCP 攻擊鏈分析
  2. Snyk — LiteLLM 後門技術分析
  3. ARMO — LiteLLM 供應鏈攻擊完整解析
  4. OX Security — LiteLLM PyPI 惡意程式報告
  5. Kaspersky — Trivy/Checkmarx/LiteLLM 木馬化事件
  6. The Hacker News — Claude Code RCE Flaws

常見問題

litellm 供應鏈攻擊是什麼?我受影響了嗎?

2026 年 3 月 TeamPCP 在 PyPI 上架被竄改的 litellm 1.82.7 和 1.82.8,植入後門竊取 API 金鑰與雲端憑證。執行 `pip show litellm` 確認版本,若為上述版本需立即輪換所有憑證。安全版本為 1.82.6 以下或 1.82.9 以上。

TeamPCP 的攻擊鏈是如何設計的?

攻擊分三步:3 月 19 日先污染安全掃描工具 Trivy;3 月 21 日擴散至 Checkmarx AST;3 月 24 日攻陷 litellm。策略是先偷走門衛的鑰匙(安全工具),再進去搬東西(目標套件)。

為什麼 AI 工具的供應鏈特別脆弱?

AI 工具生態爆炸性成長,依賴鏈深但安全審查嚴重不足。許多熱門工具只有少數貢獻者卻依賴數百個套件,攻擊者只需污染一個核心依賴就能波及整個生態系。GitHub Stars 不等於安全。

oh-my-claudecode 安全嗎?

oh-my-claudecode 本身不依賴 litellm,但其安裝機制會寫入 `~/.claude/CLAUDE.md`(Claude Code 核心設定檔)。同系列的 oh-my-opencode 已被標記存在 prompt injection 風險,使用前應仔細審查安裝腳本內容。

如何保護自己的 AI 開發環境?

三件事立即可做:一、執行 `pip show litellm` 確認版本;二、在 requirements.txt 明確釘定每個套件版本號,不用 `>=` 開放式約束;三、安裝任何 AI 工具前先讀過安裝腳本,特別警惕寫入全域設定檔的操作。

覺得這篇有幫助?

追蹤以收到新的 AI × 生醫研究筆記:

或請我喝杯咖啡,讓新內容持續產出。

☕ 請我喝杯咖啡