جملة واحدة من pip install تسرق جميع المفاتيح: يطلق Karpathy على تسميم LiteLLM بأنه "أكثر شيء مرعب في عالم البرمجيات"

وفقًا لمراقبة 1M AI News، نشر أحد أعضاء فريق مؤسسي OpenAI، أندريه كارباتي، تغريدة قال فيها إن هجوم سلسلة التوريد على أداة تطوير الوكيل الذكي LiteLLM هو “أحد أخطر الأمور في البرمجيات الحديثة”. تم تنزيل LiteLLM أكثر من 97 مليون مرة شهريًا، وتم سحب الإصدارين المسممين v1.82.7 و v1.82.8 من PyPI.

يكفي أمر واحد pip install litellm لسرقة مفاتيح SSH على الجهاز، وشهادات السحابة AWS/GCP/Azure، وتكوين Kubernetes، وشهادات git، والمتغيرات البيئية (بما في ذلك جميع مفاتيح API)، وسجل الأوامر في shell، والمحافظ المشفرة، والمفاتيح الخاصة SSL، ومفاتيح CI/CD، وكلمات مرور قواعد البيانات. يتم تغليف البيانات الخبيثة باستخدام تشفير RSA بقوة 4096 بت وإرسالها إلى نطاق مزيف models.litellm.cloud، كما تحاول إنشاء حاويات ذات صلاحيات عالية في مساحة الأسماء kube-system في مجموعة Kubernetes لزرع باب خلفي دائم.

الأخطر هو قابلية الانتشار: أي مشروع يعتمد على LiteLLM يمكن أن يصاب أيضًا، على سبيل المثال، الأمر pip install dspy (الاعتماد على litellm>=1.64.0) سيؤدي أيضًا إلى تشغيل الكود الخبيث. استمرت النسخ المسممة في الظهور على PyPI لمدة ساعة تقريبًا قبل اكتشافها، والسبب ساخر: الكود الخبيث للمهاجم نفسه يحتوي على خطأ برمجي يتسبب في استهلاك الذاكرة وانهياره. عندما استخدم المطور Callum McMahon أداة البرمجة الذكية Cursor مع إضافة MCP، تم إدخال LiteLLM كاعتماد وسيط، وعند التثبيت تعطلت الجهاز مباشرة، مما كشف عن الهجوم. وعلق كارباتي قائلاً: “إذا لم تكن لدى المهاجمين vibe code، فربما لن يُكتشف هذا الهجوم لعدة أيام أو أسابيع.”

في نهاية فبراير، استغل فريق TeamPCP ثغرة في أداة Trivy لفحص الثغرات في أنابيب CI/CD الخاصة بـ LiteLLM على GitHub Actions، وهاجم وسرق رموز إصدار PyPI، ثم تجاوز نظام GitHub ورفع إصدارات خبيثة مباشرة إلى PyPI. قال مدير Berri AI، Krrish Dholakia، إنه قام بحذف جميع رموز الإصدار، ويخطط للتحول إلى آلية إصدار موثوقة تعتمد على JWT. أصدرت PyPA إشعار أمني PYSEC-2026-2، ونصحت جميع المستخدمين الذين قاموا بتثبيت الإصدارات المتأثرة بتوقع أن جميع الشهادات في بيئتهم قد تكون تسربت، ويجب عليهم استبدالها على الفور.