根據科技媒體 cyberkendra 於 2026 年 3 月 24 日發布的報告指出，每月安裝量高達 9500 萬次的 AI API 管理工具 LiteLLM 驚傳供應鏈投毒攻擊。駭客將惡意程式碼植入官方套件庫，導致數千家企業的 AI 架構，包括 OpenAI 與 Anthropic 等服務使用者，面臨嚴峻的資安危機。此事件凸顯了 AI 基礎建設領域在追求效率同時，供應鏈安全防護的迫切性。

駭客精準鎖定 AI 核心節點：LiteLLM 供應鏈攻擊手法揭露

數據顯示，LiteLLM 作為一個極受歡迎的開源 AI API 閘道器，允許開發者透過統一格式調用超過 100 家服務商的 API，其中包含 OpenAI、Anthropic 及 Azure 等巨頭。然而，這項高度整合的便利工具，卻成為駭客眼中的「肥羊」，精準打擊掌握各類資源鑰匙的核心節點。

「LiteLLM 的普及性與其所扮演的關鍵中介角色，使其成為供應鏈攻擊的理想目標，一旦被攻破，影響範圍將難以估計。」一位不具名的資安專家評論道。

這起攻擊的影響層面極廣，不僅危及 LiteLLM 的直接使用者，更間接將數千家企業的 AI 應用與資料安全推向風險邊緣。當核心基礎設施遭滲透，企業運營與客戶資料的機密性與完整性皆受到嚴峻考驗。

惡意程式碼植入與三階段攻擊：靜默感染機制剖析

根據調查，此次攻擊在技術手段上展現了極高的隱蔽性與複雜性。攻擊者於 2026 年 3 月 24 日在 PyPI 官方倉庫發布了兩個帶有後門的版本，分別為 1.82.7 與 1.82.8。這兩個惡意版本攜帶了複雜的三階段攻擊負載：

• 第一階段：憑證收集器，用於竊取敏感資料。
• 第二階段：Kubernetes 橫向移動工具，在集群節點間進行滲透。
• 第三階段：持久後門，偽裝成系統遙測服務以長期駐留。

尤其值得注意的是，1.82.8 版本利用了 Python 的 .pth 配置文件特性，這意味著惡意軟體會在任何 Python 調用時自動觸發，使用者無需手動匯入任何模組或進行互動，整個環境即會被完全感染。這種無需執行、自動感染的特性，大幅提升了攻擊的效率與難度，對依賴 Python 生態的開發者構成嚴重威脅。

機密資料大外洩：TeamPCP 組織與攻擊鏈分析

資安公司 Endor Labs 的調查揭露，駭客為避開流量偵測，將所有外傳資料進行 AES-256-CBC 與 RSA-4096 高強度加密，並透過偽造的誤導性網域 models.litellm.cloud 進行回傳。被竊取的資料範圍極廣，涵蓋了 SSH 金鑰、AWS 與 GCP 雲端憑證、Kubernetes 機密、數位貨幣錢包以及 CI/CD 權杖等核心機密，這些都是企業營運的命脈。

「這起事件不僅是技術層面的攻防，更是一場對供應鏈信任機制的重大考驗。」Endor Labs 的報告強調。

調查進一步指出，此次攻擊由駭客組織 TeamPCP 發起。該組織本月稍早曾成功入侵 Aqua Security 的 Trivy 掃描器。由於 LiteLLM 在自身的 CI/CD 流水線中使用了已被入侵的 Trivy 工具，導致 TeamPCP 獲取了 LiteLLM 的發布權限，從而成功推送帶毒版本。這條環環相扣的攻擊鏈，明確指出供應鏈的任何一個環節都可能成為資安破口。

數據背後的啟示：立即行動防堵資安破口

LiteLLM 供應鏈攻擊事件再次向業界敲響警鐘，提醒所有開發者與企業，在追求 AI 開發效率與便利性的同時，供應鏈資安防護絕不能掉以輕心。目前惡意版本已從 PyPI 倉庫撤下，最後一個安全版本確認為 1.82.6。資安專家建議受影響的使用者應立即採取以下行動以挽回損失並強化防禦：

• 版本檢查：請在終端機執行命令 pip show litellm | grep Version 確認當前安裝的 LiteLLM 版本。同時，檢查 site-packages 目錄下是否存在 litellm_init.pth 檔案。
• 憑證更換：如果確認安裝過惡意版本，必須立即強制更換所有雲端金鑰、SSH 私鑰、資料庫密碼及 Kubernetes 權杖。這是防堵駭客持續存取的最關鍵步驟。
• 版本降級與審計：建議使用者將 LiteLLM 降級至 1.82.6 版本。此外，針對過去 48 小時內執行過的所有 CI/CD 流水線進行全面的安全審計，確保沒有殘留的持久化後門。

此次事件不僅是個別工具的資安問題，更是對整個開源生態系統信任機制的挑戰。企業應將供應鏈安全視為核心策略，定期審查第三方工具與服務，並建立完善的應變機制，才能有效抵禦日益複雜的網路攻擊。