Vòng phát triển AI đã xảy ra một sự cố an ninh mạng nghiêm trọng vào ngày 24 tháng 3. Gói Python LiteLLM, được sử dụng rộng rãi để kết nối với các LLM lớn, phiên bản 1.82.8 đã bị cấy mã độc hại, chỉ cần thực hiện lệnh

pip install litellm

là có thể gây rò rỉ một lần các khóa SSH, chứng chỉ AWS/GCP/Azure, cấu hình Kubernetes, xác thực Git, biến môi trường (tất cả API key), lịch sử Shell, ví tiền mã hóa, khóa riêng SSL, bí mật CI/CD, mật khẩu cơ sở dữ liệu và các dữ liệu nhạy cảm khác đến máy chủ từ xa.

Phạm vi lây nhiễm: bất kỳ dự án nào phụ thuộc vào LiteLLM đều bị ảnh hưởng

LiteLLM có hơn 97 triệu lượt tải mỗi tháng, quy mô đã rất lớn. Thậm chí còn nghiêm trọng hơn, bản chất của cuộc tấn công chuỗi cung ứng khiến thiệt hại vượt xa người dùng trực tiếp — bất kỳ gói nào phụ thuộc vào LiteLLM cũng sẽ bị ảnh hưởng. Ví dụ như

pip install dspy

( phụ thuộc litellm>=1.64.0 ) cũng sẽ bị nhiễm, và các dự án lớn khác cũng vậy.

Theo phân tích của Andrej Karpathy trên X, thời gian phiên bản độc hại ra mắt chưa đầy một giờ, nhưng việc phát hiện ra nhanh chóng là điều ngoài dự đoán: nhà phát triển Callum McMahon đã sử dụng một plugin MCP trong Cursor, plugin này đưa LiteLLM như một phụ thuộc truyền (transitive dependency). Khi cài đặt phiên bản 1.82.8, máy tính đã hết bộ nhớ và bị treo. Nếu không phải do lỗi trong mã của kẻ tấn công, cuộc tấn công này có thể đã diễn ra trong nhiều tuần mà không ai hay biết.

Tài khoản CEO của LiteLLM nghi bị xâm nhập, cho thấy đây là một hoạt động tấn công quy mô lớn hơn

Các nhà nghiên cứu an ninh cho biết, các tài khoản GitHub và PyPI của LiteLLM dường như đã bị xâm nhập, và sự kiện này không phải là trường hợp riêng lẻ — cùng một hoạt động tấn công (TeamPCP) đã tiến hành xâm nhập quy mô lớn vào các tiện ích mở rộng VSCode và Cursor, cấy mã độc ZOMBI, một phần mềm điều khiển từ xa (remote access trojan), cùng với các máy chủ VNC ẩn và proxy SOCKS. Được cho là đã lấy trộm hơn 500.000 bộ chứng chỉ, ảnh hưởng đến nhiều tập đoàn lớn danh tiếng.

Phản ứng ngay lập tức: kiểm tra phiên bản, hạ xuống

Phiên bản bị ảnh hưởng là 1.82.8. Nếu hệ thống đã cài đặt phiên bản này, cần coi tất cả các chứng chỉ đã bị rò rỉ và ngay lập tức thay mới:

Kiểm tra phiên bản pip show litellm # Hạ xuống phiên bản an toàn pip install litellm==1.82.7

Karpathy: Đã đến lúc xem xét lại văn hóa phụ thuộc

Karpathy đã rút ra một suy nghĩ sâu sắc hơn từ sự kiện này: kỹ thuật phần mềm truyền thống xem các gói phụ thuộc như là “xây kim tự tháp bằng gạch” để nâng cao hiệu quả, nhưng các cuộc tấn công chuỗi cung ứng khiến giả định này ngày càng nguy hiểm. Ông cho rằng, nên ưu tiên sử dụng các chức năng cần thiết của LLM “trực tiếp lấy ra” (yoink) thay vì đưa vào toàn bộ gói bên ngoài — đặc biệt khi chức năng đó đơn giản và khả thi.

Sự kiện này cũng khiến cộng đồng phát triển nhận thức rõ hơn rằng, khi các AI tự động thực thi

pip install

ngày càng phổ biến, khả năng con người kiểm duyệt và kiểm tra các lệnh này đang nhanh chóng biến mất, tường lửa ở cấp gói đã từ “thêm vào tùy chọn” trở thành “điều kiện cơ bản”.

Bài viết này về cuộc tấn công chuỗi cung ứng của LiteLLM trên PyPI: Gói AI với hơn 97 triệu lượt tải mỗi tháng bị cấy mã độc, rò rỉ toàn bộ khóa SSH và chứng chỉ API, đã xuất hiện đầu tiên trên trang tin ABMedia.