近日，接有关部门通报，AI 模型代理框架 LiteLLM在 PyPI库遭受供应链投毒，已监测到攻击利用情况。攻击者疑似盗用项目维护者在PyPI库中的发布凭证，并发布包含恶意代码的LiteLLM，经开源社区分发后进一步扩大传播和攻击范围。受害者一旦安装并运行恶意LiteLLM，恶意代码即自动执行，窃取用户SSH密钥、云服务凭据等敏感信息，甚至横向扩散、植入后门并持久化控制。

目前，受影响的LiteLLM版本为：1.82.7和1.82.8，PyPI官方已紧急下架恶意版本并发布安全公告（URL链接：https: //docs.litellm.ai /b1og/security-update-march-2026) 。

请各单位做好风险隐患防范应对工作：一是排查本部门AI模型代理框架LiteLLM使用情况，通过“pip show litellm”命令排查，如发现使用受影响LiteLLM版本，立即回退至1.82.6版本。二是持续关注Python包索引官方和安全机构公告，及时更新已配置的敏感凭证，消除安全隐患。三是持续做好网络安全监测，一旦发现利用此供应链投毒的攻击事件，第一时间处置并报告