LiteLLM 供应链攻击:黑客如何攻破 AI 初创公司 Mercor
专注于为 AI 模型训练招聘人才的 AI 平台 Mercor 成为攻击受害者,这次攻击是通过 Python 库 LiteLLM 被入侵实现的。该事件波及一家估值 100 亿美元、每天向承包商支付超过 200 万美元的平台。黑客入侵了 Trivy,获得了对 PyPI 的访问权限,并发布了恶意版本 1.82.7 和 1.82.8,该库被用作 LLM API 的代理。
通过 PyPI 的攻击机制
攻击于 3 月 24 日启动,当时 TeamPCP 组织入侵了 Trivy 漏洞扫描器,提取了发布令牌,并上传了感染的 LiteLLM 软件包。该库每月下载量达 9700 万次,作为连接 OpenAI、Anthropic 等模型的统一接口。
恶意代码在安装时即刻激活,无需导入 litellm。它提取了以下内容:
- SSH 密钥;
- 云凭证;
- Kubernetes 机密;
- 提供商 API 密钥。
此次入侵因恶意软件故障而被发现:一个 .pth 文件引发了递归进程分叉,导致分叉炸弹,使 FutureSearch 的一位工程师的系统崩溃,从而暴露了事件。
对 Mercor 和生态系统的后果
Lapsus$ 组织声称通过 Tailscale VPN 窃取了 Mercor 4 TB 数据。数据转储包括:
- 939 GB 源代码;
- 211 GB 用户数据库;
- 3 TB 视频面试和验证文档。
样本分析显示数据来自 Slack、工单系统以及 AI 代理日志。Mercor 确认已控制事件,但拒绝评论客户数据泄露。LiteLLM 已移除这些版本,暂停发布,并将合规提供商切换至 Vanta。
这是 TeamPCP 活动的一部分:Axios 此前在 npm 中被入侵,影响了超过 60 个软件包,横跨多个注册表。
Python 生态系统中的供应链漏洞
LiteLLM 作为 LLM API 的代理,对 AI 应用至关重要。此次攻击突显了以下风险:
- 依赖未经验证的开源软件包;
- 安装时缺乏沙箱隔离;
- 海量分发规模(每月 9700 万次安装)。
建议开发者:
- 安装前验证软件包哈希;
- 使用固定版本的虚拟环境;
- 使用 Dependabot 或 Snyk 等工具监控依赖;
- 使用 SLSA 框架审计供应链。
关键要点
- 威胁规模: 一个被入侵的依赖项影响了数千个使用 LiteLLM 作为 LLM 网关的 AI 项目。
- 技术细节: 恶意软件在
pip install期间窃取机密,无需运行时导入,通过.pth机制实现。 - 响应措施: PyPI 移除了软件包,LiteLLM 正在进行审计;Mercor 聘请了取证专家。
- 更广泛背景: TeamPCP 活动影响了超过 60 个软件包,包括 npm 中的。
此次事件强调了 AI 基础设施供应链安全需要采用零信任方法。
— Editorial Team
暂无评论。