文章总结: 2026年6月披露多起重大AI安全事件:开源AI网关LiteLLM存在CVSS9.9分漏洞链,可导致授权绕过、权限提升及命令注入;JetBrains插件市场发现持续9个月的恶意软件,窃取开发者API密钥并转售;Dify平台漏洞使超百万AI应用面临数据泄露;12款AI红队工具中11款存在密钥泄露风险;AnthropicClaudeCode漏洞可窃取API密钥。根因在于API密钥管理粗放,建议采用零信任架构、加密存储及用量监控进行防护。 综合评分: 85 文章分类: AI安全,漏洞分析,安全建设,数据安全,应用安全
LiteLLM沦陷Key还安全吗
原创
ladon ladon
306Safe
2026年6月30日 10:38 北京
在小说阅读器读本章
去阅读
2026上半年AI安全惨案全景复盘
一、LiteLLM沦陷:CVSS 9.9满分漏洞链
6月15日,Obsidian Security披露了一组针对开源AI网关LiteLLM的漏洞链,综合CVSS评分高达9.9分。
LiteLLM是什么?一个统一API调用层,GitHub上4.5万星标,月安装量9500万次。它的工作是汇聚你所有的大模型密钥——OpenAI、Anthropic、Gemini、Bedrock、Azure——然后用一个网关统一管理。
攻击链的三步:
-
CVE-2026-47101(授权绕过)
:普通用户生成API密钥时提交allowed_routes通配符,获得管理员权限
-
CVE-2026-47102(权限提升)
:通过/user/update端点篡改user_role为proxy_admin
-
CVE-2026-42271(命令注入)
:/mcp-rest/test/connection端点直接执行任意命令
更致命的是,漏洞公开后约36小时即出现定向利用活动。CISA已将CVE-2026-42208加入KEV目录,要求联邦机构限期修复。
二、JetBrains插件黑市:7万次下载的密钥窃取
6月,Aikido Security在JetBrains Marketplace发现了一场持续9个月的恶意软件活动:
- 至少15个恶意插件,伪装成AI编码助手和代码审查工具
- 当用户输入API Key并点击”Apply”时,凭证被发送至攻击者服务器
- 支持的AI服务包括OpenAI、DeepSeek和SiliconFlow
- 更惊人的是:攻击者将免费用户窃取的Key转售给”付费用户”
近7万次下载意味着什么?数万名开发者的API Key可能已经泄露,而他们毫不知情。
三、DifyTap:超100万AI应用面临泄露
安全厂商Zafran在开源AI应用构建平台Dify中发现了4个漏洞,统称”DifyTap”:
-
CVE-2026-41947(CVSS 9.1)
:追踪配置漏洞,攻击者可建立持久”窃听通道”
-
CVE-2026-41948(CVSS 9.4)
:Plugin Daemon路径遍历漏洞
-
CVE-2026-41949/41950(CVSS 6.5)
:未授权文档预览和跨文件访问
Dify的Docker镜像已被拉取超过1000万次,数万个实例暴露在公网上。
四、红队工具自身不安全:12款中11款泄密
6月24日,Cracken安全研究人员对12款AI驱动的自动化渗透测试工具进行了深度审计:
12款中有11款存在密钥泄露风险。多数框架将工作容器与编排器置于同一容器,直接暴露LLM API密钥和跨会话内存。
尽管7款工具部署了防护措施(规则过滤或LLM验证),但研究证实均完全无效——防护仅作用于编排层,无法监控实际工作容器的网络活动。
这印证了一个残酷的事实:LLM不能作为安全边界。
五、Claude Code漏洞:信任仓库窃取密钥
6月3日,Check Point披露Anthropic Claude Code的CVE-2026-21852漏洞:攻击者控制的仓库可在用户确认信任之前窃取敏感数据,包括Anthropic API密钥。
六、根因分析与防护建议
这些事件的共同点不是技术有多复杂,而是管理有多粗糙:
- Token获取越来越便捷,但管理基础设施严重缺失
- 用Git管代码,用Docker管环境,但管API Key的方式跟十年前把密码写在便利贴上没本质区别
- 有人离职三个月了,Key还在后台跑
建议:采用零信任架构管理API Key——加密存储(Vault)、派生凭证替代原始Key、用量监控与异常告警三层防护。Token超市开张了,你家的水表装了吗?
— 星辰安全实验室 —
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:306Safe ladon ladon《LiteLLM沦陷Key还安全吗》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论