据有关部门通报，AI模型代理框架LiteLLM在PyPI库遭受供应链投毒，已监测到攻击利用情况。攻击者疑似盗用项目维护者在PyPI库中的发布凭证，并发布包含恶意代码的LiteLLM，经开源社区分发后进一步扩大传播和攻击范围。受害者一旦安装并运行恶意LiteLLM，恶意代码即自动执行，窃取用户SSH密钥、云服务凭据等敏感信息，甚至横向扩散、植入后门并持久化控制。目前，受影响的LiteLLM版本为1.82.7和1.82.8，PyPI官方已紧急下架恶意版本并发布安全公告（URL链接：

https://docs.litellm.ai/blog/security-update-march-2026）。

请各单位、各部门高度重视，督促指导本部门做好隐患防范应对工作：一是全面开展排查整改，梳理本单位LiteLLM框架使用情况，通过“pipshowlitellm”命令排查，如发现使用受影响LiteLLM版本，立即回退至1.82.6版本。二是持续关注Python包索引官方和安全机构公告，及时更新已配置的敏感凭证，消除安全隐患。三是持续做好网络安全监测，一旦发生重大网络和数据安全事件妥善处置并及时报告网信中心。

如有疑问，请及时联系网络与信息中心，电话：0773-2214097。