据有关部门通报，AI模型代理框架LiteLLM在PyPI库遭受供应链投毒，已监测到攻击利用情况。攻击者疑似盗用项目维护者在PyPI库中的发布凭证，并发布包含恶意代码的LiteLLM，经开源社区分发后进一步扩大传播和攻击范围。受害者一旦安装并运行恶意LiteLLM，恶意代码即自动执行，窃取用户SSH密钥、云服务凭据等敏感信息，甚至横向扩散、植入后门并持久化控制。目前，受影响的LiteLLM版本为1.82.7和1.82.8，PyPI官方已紧急下架恶意版本并发布安全公告（URL链接：https://docs.litellm.ai/blog/security-update-march-2026）。

请各部门、各单位高度重视，结合本单位实际，做好隐患防范应对工作：一是全面开展排查整改，梳理本单位LiteLLM框架使用情况，通过“pipshowlitellm”命令排查，如发现使用受影响LiteLLM版本，立即回退至1.82.6版本。二是持续关注Python包索引官方和安全机构公告，及时更新已配置的敏感凭证，消除安全隐患。三是持续做好网络安全监测，一旦发现利用此供应链投毒的攻击事件，第一时间处置并报告我中心。

如有疑问，请及时联系网络与信息中心，电话：0773-2214097。

网络与信息中心

2026年4月8日