Andrej Karpathy 警示了一起供應鏈攻擊事件，揭露現代軟體依賴管理的根本風險。一次簡單的套件安裝足以竊取系統中的所有敏感憑證，而攻擊者可能透過深層依賴關係影響數百萬使用者。

攻擊規模與影響

LiteLLM 遭到 PyPI 供應鏈攻擊，受害者安裝受毒害版本後會遭遇以下資料洩露：

• SSH 金鑰
• AWS/GCP/Azure 認證資訊
• Kubernetes 配置檔
• Git 認證
• 環境變數（包括所有 API 金鑰）
• Shell 歷史記錄
• 加密貨幣錢包
• SSL 私鑰
• CI/CD 密鑰
• 資料庫密碼

LiteLLM 每月下載量達 9,700 萬次，但真正的威脅在於「傳染效應」——任何依賴 litellm≥1.64.0 的專案也會受害。例如安裝「dspy」這類大型專案時，會自動引入受毒害的 litellm，造成大範圍連鎖感染。

被發現的過程與隱患

受毒害版本線上時間不足一小時，卻差點躲過偵測。它被發現源於程式碼的一個漏洞：開發者 Callum McMahon 在 Cursor IDE 內使用 MCP 外掛，該外掛作為傳遞性依賴引入 litellm。當 1.82.8 版本安裝時，機器記憶體耗盡而當機，因而暴露攻擊。若攻擊者程式碼更加精良，這次入侵可能數周內都不會被發現。

根本的結構性風險

Karpathy 強調供應鏈攻擊是現代軟體中「最可怕的威脅」。每次安裝依賴，使用者都可能在整個依賴樹深處引入受毒害套件，大型專案因依賴眾多而風險尤高。被盜竊的憑證隨後可用於奪取更多帳戶、破壞更多套件，形成惡性循環。

Karpathy 認為古典軟體工程將依賴視為良好實踐（「用磚塊堆砌金字塔」），但此觀點需要重新評估。他個人正逐漸避免依賴，改以利用大語言模型來「提取」足夠簡單的功能，藉此降低供應鏈風險。