事件總覽：從今年二月下旬起，透過漏洞掃描工具Trivy的設定錯誤，攻擊者成功竊取高權限憑證，進而發布惡意版Trivy與LiteLLM，最終導致數千萬下載量的LiteLLM遭植入竊密程式碼，引發業界對CI/CD流程資安的深切關注。

📅 2026年2月下旬：攻擊者潛伏與憑證竊取

這場資安風暴的序曲，可以追溯到今年2月下旬。當時，攻擊者利用了開源大型語言模型介面 LiteLLM 專案 CI/CD 管道中，所使用的漏洞掃描工具 Trivy 的配置錯誤。Trivy 是一款由 Aqua Security 團隊維護的工具，許多開發專案都會將它整合到安全機制中。有趣的是，正是這個旨在強化安全的環節，反倒成了駭客的突破口。攻擊者透過這次設定上的疏失，成功竊取了一個具有高權限的存取憑證，這直接為後續操控 CI/CD 流程鋪平了道路，讓惡意行動得以在暗中滋長。

📅 2026年3月19日：Trivy工具遭破壞與惡意版本發布

話說回來，當攻擊者掌握了關鍵憑證後，他們的第一步是鎖定 Trivy 本身。在3月19日這一天，Trivy 遭到了 TeamPCP 這個攻擊團隊的破壞。他們利用先前竊取的憑證，發布了帶有惡意的 Trivy 版本 v0.69.4。這一步棋其實相當狡猾，因為許多開發者信任並依賴這類安全工具，一旦工具本身被滲透，其下游的專案就會面臨巨大風險。這不單是攻擊了單一專案，更是對整個供應鏈信任體系的挑戰。

📅 2026年3月22日：惡意程式碼擴散至DockerHub

攻擊者的野心並未止於此。緊接著在3月22日，TeamPCP 又將惡意版本的 Trivy v0.69.5 與 v0.69.6 以 DockerHub 映像的形式發布，進一步擴大了惡意程式碼的散播範圍。Aqua Security 團隊後來指出，攻擊者的手法不只是單純上傳惡意版本，他們還透過修改與 trivy-action (GitHub Action 腳本) 相關的版本標籤，將惡意程式碼注入組織原本正在執行的工作流程中。由於許多 CI/CD 管道習慣依賴版本標籤而非固定的提交版本，這導致許多專案在底層程式碼已被更動的情況下，仍舊持續執行且毫無異常跡象，這無疑是一場防不勝防的「溫水煮青蛙」式攻擊。

📅 2026年3月24日：資安警報全面升級

正因為 Trivy 的憑證遭到竊取，LiteLLM 的 PYPI_PUBLISH 憑證也隨之洩漏，並被攻擊者用來推送新的 LiteLLM 程式碼。這直接導致 LiteLLM v1.82.7 與 v1.82.8 兩個版本在 PyPI 上被發現植入竊取憑證的惡意程式碼，並緊急下架。OpenAI 共同創辦人 Andrej Karpathy 也在3月24日公開關注這起事件，並警示其嚴重性，指出簡單的 pip install litellm 就足以竊取 SSH 金鑰、AWS/GCP/Azure 憑證、Kubernetes 配置、Git 憑證、環境變數（所有 API 金鑰）、Shell 歷史紀錄、加密貨幣錢包、SSL 私鑰、CI/CD 密鑰，甚至是資料庫憑證等敏感資訊，這無疑是一場軟體界的「恐怖事件」。

至今影響與未來展望

這起 LiteLLM 供應鏈攻擊事件，對整個開源生態系統敲響了警鐘。維護 LiteLLM 的 Berri AI 執行長 Krrish Dholakia 已表示，他們已刪除所有 PyPI 發布憑證，並確認帳戶本身有啟用雙重驗證，問題確實出在憑證本身。目前團隊正積極檢視帳戶安全性，並考慮進一步強化措施，例如採用 JWT 憑證的可信發布機制，或是改用不同的 PyPI 帳戶等，以防範類似事件再次發生。

Python Packaging Authority (PyPA) 也針對此事件發出安全公告，明確建議任何曾安裝並執行受影響 LiteLLM 專案的人，都應假設環境中所有可取得的憑證可能已遭洩露，務必立即進行撤銷或輪替處理。這不僅是一次性的修復，更預示著未來軟體開發流程中，對 CI/CD 安全性、憑證管理以及供應鏈信任機制，都需要更嚴謹、更前瞻的審視與強化，才能確保開發者與使用者的數位資產安全。