文章总结： LiteLLM供应链投毒事件揭示AI安全新风险，恶意版本窃取凭证导致企业内网渗透和数据泄露，暴露传统SCA工具无法追踪AI网关动态拓扑的盲区，亟需构建AI-BOM和加强网关凭证管理应对AI爆炸半径威胁。 综合评分： 83 文章分类： AI安全,供应链安全,漏洞分析,安全运营,应急响应

深度解析LiteLLM投毒事件：AI供应链首次引爆“爆炸半径”风险

威胁情报中心 威胁情报中心

奇安信集团

2026年4月23日 18:18 北京

在小说阅读器读本章

去阅读

不久前，AI领域爆发一场影响深远的供应链攻击——全球AI模型网关核心组件LiteLLM遭恶意投毒，1.82.7与1.82.8版本被植入窃取凭证的恶意代码，短短数小时内被拉取数万次，月下载量越9600万次的它，瞬间引爆AI生态安全危机。AI招聘初创公司Mercor等数千家企业沦为受害者，即便快速修补依赖，仍因凭证泄露遭遇内网渗透，源代码与核心数据大规模外泄，敲响AI供应链安全警钟。

其中，Mercor估值约100亿美元，客户涵盖Anthropic、OpenAI及Meta，主要为AI模型训练提供高度定制化的数据。此次泄露之所以令各家AI大厂紧张，不只是因为个人数据外泄，更是因为Mercor身处多家竞争对手的数据流水线之中——一旦数据选择标准、标注规范、训练策略等核心方法论细节被竞争对手获取，各家公司耗费数年、数十亿美元构筑的技术护城河将面临威胁。

奇安信昆吾实验室(AI安全实验室)安全专家认为，此次攻击绝非普通第三方库漏洞，而是直击AI架构命门。LiteLLM作为连接应用与百余家大模型的关键枢纽，掌控API密钥、工具链与Agent工作流，被攻陷后瞬间变身为超级窃密代理，风险沿调用链路横向扩散，形成前所未有的“AI爆炸半径”。传统SCA工具仅能识别组件漏洞，却无法追踪网关路由、凭证权限与数据流向，海量未纳管的影子AI节点，更让企业陷入“看不见、管不住、防不住”的被动局面。

昆吾实验室第一时间发布《AI供应链依赖即引爆点：LiteLLM供应链攻击揭示AI系统“爆炸半径”盲区》报告，对AI供应链依赖导致的“多米诺骨牌”式连锁效应，进行了深度解析，并为广大政企机构给出了网络安全防护建议。

以下为报告全文：

一、导读

当企业通过SCA（软件成分分析）工具迅速排查并修补了恶意版本的LiteLLM时，他们以为危机已经解除。但现实是：AI招聘初创公司Mercor确认自己作为“数千个下游受害者”之一，不仅遭遇了依赖投毒，其窃取的凭证更被用于渗透内部系统，导致大规模源代码泄露。

LiteLLM是一个被广泛应用于AI生态的模型网关，日均下载量达数百万次，负责将请求路由至100多个LLM提供商。在短暂的投毒窗口期，恶意版本被拉取数万次，令使用该版本的企业处于AI爆炸半径范围内。虽然恶意软件本身并不复杂，且其异常行为很快被捕获，但它撕开了一个被严重低估的防线缺口。

传统的安全视角认为修补了依赖就修复了漏洞，但在AI架构下，这完全是错觉。风险不再是被攻陷的依赖本身，而是该依赖在运行时能接触到的所有东西。

【AI安全新概念】AI爆炸半径：当处于AI执行路径上的核心组件（如模型网关、编排框架）被攻陷时，其影响不仅限于代码库，而是沿调用链路横向爆炸，穿透模型提供商、API密钥、Agent工具链乃至企业核心数据。

二、攻击框架与核心风险解析

1. 事件全景：从依赖投毒到系统级失陷。

投毒发生：攻击者向开源项目LiteLLM推送了包含凭证窃取恶意软件的版本，由于其生态位极其核心（模型网关），在恶意版本被发现前已被大量拉取。

▲LiteLLM供应链攻击技术流程图（图源：GitGuardian）

涟漪效应：Mercor等企业虽然具备合规认证和安全工具，能快速发现并修补依赖，但攻击者利用窃取到的LiteLLM网关凭证，直接穿透了应用层，访问了后端的内部系统与代码仓库。

核心痛点：企业知道自己用了LiteLLM，却不知道LiteLLM连接了什么。

2. 核心原理：网关作为“总导管”的信任滥用。

LiteLLM并非安静躺在代码库里的普通第三方库，它直接卡在应用程序与大模型之间的执行路径上。它负责路由请求、抽象提供商、处理鉴权。一旦它被挟持，就不再是单一的包漏洞，而是变成了一个超级代理：

• 攻击者通过它获取各大模型提供商的API Key；
• 通过它探知后端挂载了哪些工具和内部API；
• 利用它追踪并渗透依赖该网关的Agent工作流。

3. 传统防御的盲区：看得见依赖，看不见系统。

事件爆发后，大多数团队的标准动作是：查依赖、锁定版本、升级打补丁。从传统AppSec视角看，这堪称完美。但问题在于：

• SCA只回答了“这个包有没有漏洞”；
• SCA无法回答“这个包正在路由哪些模型”、“关联了哪些内部工具”、“暴露了哪些Agent工作流”。

更致命的是影子AI的广泛存在：许多企业自认为处于AI adoption早期，实则各类网关、框架、Agent模式已散落于无数代码库中，无中心化管控，早已成为生产环境的一部分。

三、攻击过程详情——电子邮件窃取攻击链

虽然原始恶意软件设计思路相对粗糙，但其展现的攻击路径极具代表性。以下为基于事件还原的攻防链路：

攻击前置——网关作为核心枢纽

在现代AI应用构建中，开发者通常使用编排框架构建Agent，通过LiteLLM统一抽象和路由底层模型调用，并将Agent挂载到各类外部工具或内部API上。LiteLLM的配置文件和运行时内存中，静态存储着通往整个AI生态的钥匙。

第一步：依赖投毒与静默窃取

• 攻击者获取LiteLLM包的发布权限，推送包含恶意脚本的新版本。
• 企业CI/CD流水线或开发人员拉取更新，恶意版本被部署至测试或生产环境。
• 恶意载荷在运行时激活，针对环境变量（.env）、配置文件及进程内存进行扫描，定向窃取OpenAI、Anthropic等上百个模型提供商的API Key，以及企业内部系统的鉴权Token。

第二步：突破边界——从包权限到系统权限

传统依赖漏洞的破坏力通常局限于当前进程或容器。但在本次事件中：

• 攻击者拿到的是网关凭证，而非普通应用权限；
• 利用这些凭证，攻击者可以直接伪装成合法的AI网关，向企业后端的各类API发起 authenticated request，完全绕过应用层的网络边界防护。

第三步：数据外泄与纵深渗透

以Mercor为例，攻击链并未停留在窃取API Key：

• 攻击者利用窃取的凭证，横向访问企业内部的代码托管平台、知识库等核心资产；
• 由于缺乏AI系统级别的拓扑监控，安全团队在修补依赖时，根本没有意识到这些凭证已经被用于后续渗透；
• 最终导致大规模源代码和敏感数据被打包外泄。

第四步：潜伏于影子AI中

更隐蔽的风险在于，如果恶意软件足够静默，它可以长时间潜伏在网关中，持续监听流经该网关的所有Prompt（提示词）、Response（响应）以及工具调用参数。对于未受管控的影子AI节点，这种窃取可能长达数周而无法被SCA或常规态势感知设备发现。

四、深度解读

1. 攻击面重构：从静态依赖图谱到动态AI拓扑。

传统安全模型依赖静态的依赖图谱。但在AI应用中，一行指定模型的代码（如model=”gpt-4o”）背后，隐藏着一系列关于提供商、能力、权限的动态决策。当这些决策散落在不同的仓库和Agent工作流中时，就形成了一个无法通过SBOM或SCA看清的黑盒。

行业需要从管理依赖转向管理AI系统拓扑——不仅要知道系统由哪些包构成，更要摸清数据在模型、网关、工具、Agent之间的流动路径。

2. 防御策略：从SCA打补丁到构建AI-BOM。

SCA依然是基础，它发出了警报。但面对AI爆炸半径，企业必须引入AI-BOM（AI系统物料清单）的概念：

• 映射关系：识别出LiteLLM后，必须明确哪些模型、哪些提供商在通过它路由；
• 暴露面梳理：摸清这些模型被授权调用了哪些内部工具、API和数据库；
• 链路追踪：将上述节点串联回具体的Agent工作流和应用业务逻辑中。

只有具备这种上下文，当类似LiteLLM的事件再次发生时，安全团队才能回答：流量是否被路由到了未批准的提供商？哪些Agent处于风险中？哪些外部系统被暴露？

3. 行业影响：影子AI是潜伏的定时炸弹。

此次事件最让人警醒的不是投毒本身，而是它暴露出的未知。大量企业低估了自身环境的AI复杂度。当 Incident Response（应急响应）团队只盯着依赖版本时，真正的风险正通过未被纳管的网关和Agent链条悄然扩散。AI供应链安全的标准，必须从组件安全升级为系统可见性安全。

五、企业行动建议（面向技术与管理层）

部署龙虾安全伴侣、大模型卫士等安全产品保障AI安全。其中龙虾安全伴侣提供全景可视能力，实时监测网络中所有AI智能体的活动轨迹和调用行为，让企业对智能体能够“看得清”、“管得住”、“用得好”。大模型卫士集成了大模型安全网关（GPT-Guard）、安全风险AI鉴定平台、监测审计平台三大核心组件，构建了“检测-管控-审计”一体化防护闭环，有效防御提示词注入、越狱攻击、恶意指令、数据泄露等多种风险。

网关凭证全面轮换：立即审计所有AI模型网关的API Key与内部Token，强制重置并缩短轮换周期。

构建AI-BOM拓扑：梳理企业内所有模型网关、编排框架及关联的下游工具与API，建立动态连接图谱。

清剿影子AI节点：通过代码仓库全局扫描，识别未纳管、无权限管控的AI网关与Agent调用点。

实施网关微隔离：限制模型网关的出站和网络访问权限，禁止其直连核心代码仓库与数据库。

升级应急响应预案：将“AI爆炸半径排查”纳入供应链投毒事件的标准应急处置SOP中。

六、风险与合规提醒

昆吾实验室郑重声明：本漏洞仅用于安全研究，严禁任何未经授权的测试。我们支持白帽安全实践，所有漏洞披露均应通过负责任的披露流程。企业切勿尝试复现攻击，应优先部署防御方案。

【实验室简介】

奇安信昆吾实验室(AI安全实验室)致力于前沿人工智能攻防技术研究，通过研究AI新型攻击、AI攻击防御技术、AI Agent安全、AI供应链安全和数据安全等关键技术，为AI系统和应用的合规、安全、可靠运行保驾护航。关注我们，获取最新的AI安全威胁解读与防御实践。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：奇安信集团 威胁情报中心 威胁情报中心《深度解析LiteLLM投毒事件：AI供应链首次引爆“爆炸半径”风险》