技术说明
在2026年3月liteLLM遭受PyPI供应链攻击后,维护者披露了两个高严重性问题(均需要有效的代理API密钥),并发布了v1.83.0版本,采用了加固的CI/CD v2管道、隔离构建环境和更严格的发布管控。
攻击途径
通过植入木马的PyPI包进行供应链攻击(3月);经过身份验证的代理漏洞(当前披露)。
受影响系统
在2026年3月1-15日左右安装了受感染版本的LiteLLM用户;当前问题需要有效的代理API密钥。
缓解措施
检查litellm_init.pth入侵指标;轮换可能暴露的密钥;升级到v1.83.0+版本;添加依赖验证和CI/CD访问控制。