警惕！热门AI库LiteLLM遭供应链投毒，启动即窃密，千余SaaS已沦陷

GitHub 4万星的AI大模型接口库LiteLLM遭恶意投毒。攻击者利用被盗PyPI令牌发布恶意版本，通过.pth文件使恶意代码在Python解释器启动时自动执行，无需调用库函数。该攻击能系统性搜刮SSH密钥、云平台凭证及钱包加密资产，并建立持久化后门。更令人震惊的是，此次攻击的入口竟是安全工具Trivy被攻破。尽管攻击因代码bug导致内存溢出而暴露，但已有超1000个SaaS环境确认感染。建议开发者立即检查环境，升级至1.82.6版本并全面轮换密钥。