導讀:2026 年 3 月,litellm 被植入後門,竊取 API 金鑰與雲端憑證。從上架到隔離僅 3 小時。
三小時的窗口
你上一次執行 pip install 是什麼時候?
2026 年 3 月 24 日,攻擊組織 TeamPCP 在 PyPI 上架竄改版 litellm 1.82.7 與 1.82.8。litellm 是統一多模型介面,讓開發者用同一套程式碼呼叫 Claude、GPT、Gemini。不論你有沒有聽過這個名字,只要你用過任何支援「切換 AI 模型」的開發工具,它極可能藏在你的依賴樹某一層——安靜,不起眼,卻幾乎無所不在。
惡意程式碼掃描並竊取環境中所有 API 金鑰、雲端憑證、Slack token、加密貨幣錢包。1.82.8 更植入持久性後門,每次 Python 啟動時自動觸發。**從上架到隔離:3 小時。**短暫得難以置信。
先拆掉警報器,再開後門
這次攻擊最值得注意的,不是後門本身,而是順序。
3/19,攻擊者先污染了 Aqua Security 的 Trivy——一款被廣泛用於掃描容器漏洞的安全工具。先讓掃描安全問題的工具出問題,就像是偷竊前先剪掉監視器電線,諷刺得幾乎算是一種藝術。3/21,Checkmarx 的 AST GitHub Actions 接著中招。3/24,才輪到 litellm。
先讓你的警報系統失靈,再打核心目標。等 litellm 被植入後門時,許多自動化安全掃描已在悄悄跑著被竄改的程式碼了。

AI 工具生態的結構性脆弱
這次事件照出了整個 AI 工具生態的一個結構性問題:依賴鏈很深,但安全審查極淺。
Memento-Skills(自主代理框架)直接依賴 litellm,初始安裝未釘版本。它上架的日期是 2026 年 3 月 19 日——正好是攻擊開始的那天。**9 天累積 785 顆星,卻只有 3 個 commits、1 個貢獻者。**攻擊窗口內的使用者,幾乎沒有任何防護。
oh-my-claudecode 有 13,700+ GitHub Stars,安裝時卻會直接寫入 ~/.claude/CLAUDE.md——你的 AI 助理的核心設定檔。若這份檔案被竄改,你的 AI 助理就不再是你原來的那個了。同系列工具已被資安研究者標記存在 prompt injection 風險。Claude Code 本身也有兩個 CVE:CVE-2025-59536(任意 shell 執行)與 CVE-2026-21852(顯示信任提示前即發出 API 請求)。
你可能從未打開過這些工具的安裝腳本。大多數開發者不會。這正是攻擊者所依賴的。
三件事,現在就做
1. 檢查版本:打開終端機,執行 pip show litellm。若版本是 1.82.7 或 1.82.8,你的環境已被入侵——升級套件不夠,所有曾暴露的 API 金鑰與憑證都必須輪換。安全版本:≤ 1.82.6 或 ≥ 1.82.9。
2. 審查安裝腳本:任何會寫入 ~/.claude/、~/.config/ 等全域設定的工具,先看腳本再裝。特別警惕 curl | bash 或 npx skills add <something> 這類一行安裝指令——它們在你的機器上,以你終端機的完整權限執行遠端程式碼。
3. 釘定版本:在 requirements.txt 或 pyproject.toml 中,為每個套件指定精確版本號,不用 >= 開放式約束。CI/CD 自動拉取最新版,正是供應鏈攻擊所利用的習慣。
GitHub Stars 是社群認可,不是安全背書。開源不代表有人審查過程式碼。某一環斷了,整條鏈就斷了。
你現在使用的 AI 工具裡,有幾個你真的知道它在你機器上裝了什麼?
References
- ReversingLabs — TeamPCP 攻擊鏈分析
- Snyk — LiteLLM 後門技術分析
- ARMO — LiteLLM 供應鏈攻擊完整解析
- OX Security — LiteLLM PyPI 惡意程式報告
- Kaspersky — Trivy/Checkmarx/LiteLLM 木馬化事件
- The Hacker News — Claude Code RCE Flaws
常見問題
litellm 供應鏈攻擊是什麼?我受影響了嗎?
2026 年 3 月 TeamPCP 在 PyPI 上架被竄改的 litellm 1.82.7 和 1.82.8,植入後門竊取 API 金鑰與雲端憑證。執行 `pip show litellm` 確認版本,若為上述版本需立即輪換所有憑證。安全版本為 1.82.6 以下或 1.82.9 以上。
TeamPCP 的攻擊鏈是如何設計的?
攻擊分三步:3 月 19 日先污染安全掃描工具 Trivy;3 月 21 日擴散至 Checkmarx AST;3 月 24 日攻陷 litellm。策略是先偷走門衛的鑰匙(安全工具),再進去搬東西(目標套件)。
為什麼 AI 工具的供應鏈特別脆弱?
AI 工具生態爆炸性成長,依賴鏈深但安全審查嚴重不足。許多熱門工具只有少數貢獻者卻依賴數百個套件,攻擊者只需污染一個核心依賴就能波及整個生態系。GitHub Stars 不等於安全。
oh-my-claudecode 安全嗎?
oh-my-claudecode 本身不依賴 litellm,但其安裝機制會寫入 `~/.claude/CLAUDE.md`(Claude Code 核心設定檔)。同系列的 oh-my-opencode 已被標記存在 prompt injection 風險,使用前應仔細審查安裝腳本內容。
如何保護自己的 AI 開發環境?
三件事立即可做:一、執行 `pip show litellm` 確認版本;二、在 requirements.txt 明確釘定每個套件版本號,不用 `>=` 開放式約束;三、安裝任何 AI 工具前先讀過安裝腳本,特別警惕寫入全域設定檔的操作。