开源库LiteLLM遭供应链攻击，数千企业受影响

Mercor公司近日确认，其开源项目LiteLLM被植入恶意代码，引发一场波及广泛的供应链安全事件。LiteLLM是一个被广泛使用的工具库，帮助开发者轻松调用OpenAI、Anthropic、Google Gemini等主流大模型的API，日均下载量超过百万次。许多AI初创公司、云服务商和企业内部系统都依赖它来降低接入成本。攻击者在代码中隐藏了后门，可窃取API密钥、记录调用日志，甚至远程执行指令。

据安全团队初步分析，攻击源头指向一个名为TeamPCP的黑客组织，该组织此前曾针对多个开源项目实施过类似渗透。虽然Mercor在攻击发生后数小时内紧急下架了受影响版本并发布修复补丁，但在此期间，已有大量企业自动更新了被污染的代码包，部分用户直到现在仍未察觉异常。

Lapsus$趁火打劫，泄露内部通讯与系统截图

就在LiteLLM事件发酵的同一天，知名勒索组织Lapsus$宣称对Mercor发动了二次攻击，并公开了一批内部数据作为“战利品”。其中包括：Slack聊天记录截图、员工工单系统访问日志、AI客服与客户的对话视频片段，以及一份标注为“CFO-财务API密钥清单”的加密文件。

这些材料的真实性已由独立安全研究员交叉验证。部分Slack对话中，员工提及“LiteLLM最近更新有点奇怪”，证实内部早有疑虑但未被重视。Lapsus$要求支付1500万美元比特币赎金，否则将陆续释放更多员工个人信息与客户数据。目前Mercor尚未公开回应赎金要求，但已通知所有客户重置所有与LiteLLM相关的密钥。

行业震动：谁在为开源工具的安全买单？

这场事件暴露的不只是一个漏洞，而是一整套被忽视的基础设施风险。LiteLLM由Mercor的工程团队维护，但从未接受过第三方安全审计。项目主页上“MIT许可证”字样醒目，却无任何安全声明或漏洞赏金计划。许多用户默认“开源=安全”，甚至在生产环境中直接引用未经审查的GitHub提交。

事件发生后，Mercor迅速将合规认证从原机构更换为Vanta，但这一动作被业内视为“危机公关”——Vanta主要做的是合规流程自动化，而非代码安全审计。真正需要的是：对高频依赖的开源库实施签名验证、构建哈希白名单、强制依赖扫描。目前，GitHub已为LiteLLM仓库添加“高风险警告”标签，npm和PyPI也同步下架了受影响版本。

影响远超想象：AI招聘系统也遭波及

Mercor是一家估值超百亿美元的AI招聘平台，其核心产品通过分析候选人视频面试、简历和聊天记录，自动匹配岗位。这次攻击直接威胁到其客户——包括Stripe、Airbnb、Netflix等科技巨头——的候选人数据安全。有客户透露，部分AI面试官在攻击窗口期内曾向外部服务器发送过候选人语音片段。

更令人担忧的是，许多企业将LiteLLM用于内部培训AI助手，这意味着攻击者可能已获取了大量企业机密对话。目前，至少有12家上市公司已启动内部安全审计，要求所有使用LiteLLM的团队立即停用并回滚至2024年1月前的稳定版本。

下一步：开发者该怎么做？

这不是第一次，也不会是最后一次。开源生态的繁荣，建立在无数开发者无偿贡献的基础上，但安全责任却无人兜底。以下是当前最实用的应对建议：

• 立即检查你的项目是否依赖 LiteLLM（命令：`npm list litellm` 或 `pip show litellm`）
• 若版本号为 1.28.0–1.28.5，立刻升级至 1.28.6 或更高
• 重置所有与 OpenAI、Anthropic、Cohere 等服务相关的 API 密钥
• 启用依赖扫描工具（如 Snyk、Dependabot），并开启“仅允许已签名依赖”策略
• 对关键系统，禁止直接从 GitHub 或 PyPI 拉取最新版，改用私有镜像仓库

安全不是技术问题，而是流程问题。当一个百万下载的工具能一夜之间让上千家企业暴露，我们不能再靠“相信开源”来保护业务。是时候为每一行代码，建立一道防线。