# 策展 · X (Twitter) 🔥

> 作者：Andrej Karpathy (@karpathy) · 平台：X (Twitter) · 日期：2026-03-25

> 原始來源：https://x.com/karpathy/status/2036487306585268612

## 中文摘要

Andrej Karpathy 警示了一起供應鏈攻擊事件，揭露現代軟體依賴管理的根本風險。一次簡單的套件安裝足以竊取系統中的所有敏感憑證，而攻擊者可能透過深層依賴關係影響數百萬使用者。

**攻擊規模與影響**

LiteLLM 遭到 PyPI 供應鏈攻擊，受害者安裝受毒害版本後會遭遇以下資料洩露：
- SSH 金鑰
- AWS/GCP/Azure 認證資訊
- Kubernetes 配置檔
- Git 認證
- 環境變數（包括所有 API 金鑰）
- Shell 歷史記錄
- 加密貨幣錢包
- SSL 私鑰
- CI/CD 密鑰
- 資料庫密碼

LiteLLM 每月下載量達 9,700 萬次，但真正的威脅在於「傳染效應」——任何依賴 litellm≥1.64.0 的專案也會受害。例如安裝「dspy」這類大型專案時，會自動引入受毒害的 litellm，造成大範圍連鎖感染。

**被發現的過程與隱患**

受毒害版本線上時間不足一小時，卻差點躲過偵測。它被發現源於程式碼的一個漏洞：開發者 Callum McMahon 在 Cursor IDE 內使用 MCP 外掛，該外掛作為傳遞性依賴引入 litellm。當 1.82.8 版本安裝時，機器記憶耗盡而當機，因而暴露攻擊。若攻擊者程式碼更加精良，這次入侵可能數周內都不會被發現。

**根本的結構性風險**

Karpathy 強調供應鏈攻擊是現代軟體中「最可怕的威脅」。每次安裝依賴，使用者都可能在整個依賴樹深處引入受毒害套件，大型專案因依賴眾多而風險尤高。被盜竊的憑證隨後可用於奪取更多帳戶、破壞更多套件，形成惡性循環。

Karpathy 認為古典軟體工程將依賴視為良好實踐（「用磚塊堆砌金字塔」），但此觀點需要重新評估。他個人正逐漸避免依賴，改以利用大語言模型來「提取」足夠簡單的功能，藉此降低供應鏈風險。

## 標籤

資安, SDK, Agent, LiteLLM, PyPI