LiteLLM沦陷Key还安全吗

admin 2026-07-02 06:06:59 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 2026年6月披露多起重大AI安全事件:开源AI网关LiteLLM存在CVSS9.9分漏洞链,可导致授权绕过、权限提升及命令注入;JetBrains插件市场发现持续9个月的恶意软件,窃取开发者API密钥并转售;Dify平台漏洞使超百万AI应用面临数据泄露;12款AI红队工具中11款存在密钥泄露风险;AnthropicClaudeCode漏洞可窃取API密钥。根因在于API密钥管理粗放,建议采用零信任架构、加密存储及用量监控进行防护。 综合评分: 85 文章分类: AI安全,漏洞分析,安全建设,数据安全,应用安全


cover_image

LiteLLM沦陷Key还安全吗

原创

ladon ladon

306Safe

2026年6月30日 10:38 北京

在小说阅读器读本章

去阅读

2026上半年AI安全惨案全景复盘

一、LiteLLM沦陷:CVSS 9.9满分漏洞链

6月15日,Obsidian Security披露了一组针对开源AI网关LiteLLM的漏洞链,综合CVSS评分高达9.9分

LiteLLM是什么?一个统一API调用层,GitHub上4.5万星标,月安装量9500万次。它的工作是汇聚你所有的大模型密钥——OpenAI、Anthropic、Gemini、Bedrock、Azure——然后用一个网关统一管理。

攻击链的三步:

  1. CVE-2026-47101(授权绕过)

    :普通用户生成API密钥时提交allowed_routes通配符,获得管理员权限

  2. CVE-2026-47102(权限提升)

    :通过/user/update端点篡改user_role为proxy_admin

  3. CVE-2026-42271(命令注入)

    :/mcp-rest/test/connection端点直接执行任意命令

更致命的是,漏洞公开后约36小时即出现定向利用活动。CISA已将CVE-2026-42208加入KEV目录,要求联邦机构限期修复。

二、JetBrains插件黑市:7万次下载的密钥窃取

6月,Aikido Security在JetBrains Marketplace发现了一场持续9个月的恶意软件活动

  • 至少15个恶意插件,伪装成AI编码助手和代码审查工具
  • 当用户输入API Key并点击”Apply”时,凭证被发送至攻击者服务器
  • 支持的AI服务包括OpenAI、DeepSeek和SiliconFlow
  • 更惊人的是:攻击者将免费用户窃取的Key转售给”付费用户”

近7万次下载意味着什么?数万名开发者的API Key可能已经泄露,而他们毫不知情。

三、DifyTap:超100万AI应用面临泄露

安全厂商Zafran在开源AI应用构建平台Dify中发现了4个漏洞,统称”DifyTap”:

  • CVE-2026-41947(CVSS 9.1)

    :追踪配置漏洞,攻击者可建立持久”窃听通道”

  • CVE-2026-41948(CVSS 9.4)

    :Plugin Daemon路径遍历漏洞

  • CVE-2026-41949/41950(CVSS 6.5)

    :未授权文档预览和跨文件访问

Dify的Docker镜像已被拉取超过1000万次,数万个实例暴露在公网上。

四、红队工具自身不安全:12款中11款泄密

6月24日,Cracken安全研究人员对12款AI驱动的自动化渗透测试工具进行了深度审计:

12款中有11款存在密钥泄露风险。多数框架将工作容器与编排器置于同一容器,直接暴露LLM API密钥和跨会话内存。

尽管7款工具部署了防护措施(规则过滤或LLM验证),但研究证实均完全无效——防护仅作用于编排层,无法监控实际工作容器的网络活动。

这印证了一个残酷的事实:LLM不能作为安全边界

五、Claude Code漏洞:信任仓库窃取密钥

6月3日,Check Point披露Anthropic Claude Code的CVE-2026-21852漏洞:攻击者控制的仓库可在用户确认信任之前窃取敏感数据,包括Anthropic API密钥

六、根因分析与防护建议

这些事件的共同点不是技术有多复杂,而是管理有多粗糙

  • Token获取越来越便捷,但管理基础设施严重缺失
  • 用Git管代码,用Docker管环境,但管API Key的方式跟十年前把密码写在便利贴上没本质区别
  • 有人离职三个月了,Key还在后台跑

建议:采用零信任架构管理API Key——加密存储(Vault)、派生凭证替代原始Key、用量监控与异常告警三层防护。Token超市开张了,你家的水表装了吗?

— 星辰安全实验室 —


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:306Safe ladon ladon《LiteLLM沦陷Key还安全吗》

PromptInjection攻防详解 网络安全文章

PromptInjection攻防详解

文章总结: PromptInjection本质是利用大语言模型无法区分数据与指令边界来操控其行为,分为直接与间接注入。攻击手法含越狱、数据提取及工具劫持。防御需
评论:0   参与:  0