简单回顾下事件经过:
LiteLLM是一个流行的Python库,用来统一调用各家大模型API。攻击者通过PyPI(Python包管理平台)上传了名称相似的恶意包(typosquatting攻击),或者在某些版本中植入了后门代码。
影响范围: 如果你直接从PyPI安装了被投毒的版本,你的API Key和环境变量可能被窃取。具体受影响的版本社区已经标记了。
OpenClaw用户要不要担心: 看你的部署方式。如果你是Docker部署的OpenClaw镜像,官方镜像一般会锁定依赖版本不太受影响。如果你是从源码自己装的,检查一下requirements里LiteLLM的版本。
这件事的启示是: 开源供应链安全不是小事。一个底层依赖被投毒可以影响整个生态。
社区之前有帖子详细分析了这个事件:后背发凉啊,竟然litellm被投毒了! 还有这个:接连投毒!LiteLLM、Apifox已中招,OpenClaw安全警报拉满