Một dòng pip install đánh cắp tất cả các khóa: Karpathy gọi việc LiteLLM bị đầu độc là "sự kiện đáng sợ nhất trong thế giới phần mềm"

BlockBeatNews

2026-03-25 03:52:57

Theo theo dõi của 1M AI News, thành viên sáng lập OpenAI Andrej Karpathy đã đăng bài cho biết công cụ phát triển đại lý AI LiteLLM gặp phải cuộc tấn công chuỗi cung ứng là “gần như điều đáng sợ nhất trong phần mềm hiện đại”. LiteLLM có 97 triệu lượt tải hàng tháng, hai phiên bản bị nhiễm v1.82.7 và v1.82.8 đã bị gỡ khỏi PyPI.

Chỉ cần một lệnh pip install litellm là đủ để đánh cắp khóa SSH trên máy, chứng chỉ đám mây AWS/GCP/Azure, cấu hình Kubernetes, chứng chỉ git, biến môi trường (bao gồm tất cả API key), lịch sử shell, ví tiền mã hóa, khóa SSL, khóa CI/CD và mật khẩu cơ sở dữ liệu. Mã độc được đóng gói mã hóa RSA 4096 bit và gửi dữ liệu đến tên miền giả mạo models.litellm.cloud, đồng thời còn cố gắng tạo container đặc quyền trong namespace kube-system của Kubernetes để cài đặt cửa hậu vĩnh viễn.

Nguy hiểm hơn là khả năng lây nhiễm: bất kỳ dự án nào phụ thuộc LiteLLM đều có nguy cơ bị nhiễm, ví dụ như pip install dspy (phụ thuộc litellm>=1.64.0) cũng sẽ kích hoạt mã độc. Các phiên bản bị nhiễm chỉ tồn tại khoảng 1 giờ trên PyPI rồi bị phát hiện, điều này khá trớ trêu: mã độc của kẻ tấn công có lỗi bug khiến bộ nhớ bị tiêu hao và gây sập hệ thống. Nhà phát triển Callum McMahon khi sử dụng plugin MCP trong công cụ lập trình AI Cursor đã bị kéo vào phụ thuộc của LiteLLM, sau khi cài đặt máy lập tức sập, qua đó lộ ra cuộc tấn công. Karpathy bình luận: “Nếu kẻ tấn công không có vibe code trong lần tấn công này, có thể mất vài ngày hoặc vài tuần mới phát hiện ra.”

Tổ chức tấn công TeamPCP vào cuối tháng 2 đã lợi dụng lỗ hổng Trivy trong pipeline CI/CD của LiteLLM trong cấu hình GitHub Actions để xâm nhập, đánh cắp token phát hành trên PyPI, sau đó vượt qua GitHub để tải lên các phiên bản độc hại trực tiếp lên PyPI. Người điều hành Berri AI, CEO Krrish Dholakia, cho biết đã xóa tất cả token phát hành và dự định chuyển sang cơ chế phát hành đáng tin cậy dựa trên JWT. PyPA đã phát hành thông báo an toàn PYSEC-2026-2, khuyên tất cả người dùng đã cài đặt các phiên bản bị ảnh hưởng nên giả định rằng tất cả chứng chỉ trong môi trường đã bị lộ, và nên thay đổi ngay lập tức.

Xem bản gốc

Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo Tuyên bố miễn trừ trách nhiệm.

Bình luận

0/400

Không có bình luận