一边挂着安全认证，一边中招恶意软件：LiteLLM把AI开源圈的尴尬撕开了

安全 2026年3月26日

AI 开源项目 LiteLLM 因依赖链被植入窃取凭证的恶意软件，暴露出一个比“中毒”本身更刺眼的问题：安全合规证书并不等于真实安全。更耐人寻味的是，给它做 SOC 2 和 ISO 27001 合规背书的 Delve，本身就深陷“假合规”争议，这让整个事件像一面镜子，照出了 AI 时代软件供应链和合规生意的双重脆弱。

开源世界这两年最吊诡的场景之一，大概就是：一个号称帮助开发者更方便调用数百个 AI 模型、每天下载量高达数百万次的热门项目，网站上还挂着醒目的安全认证徽章，结果却被一段低级、粗糙、甚至被研究人员怀疑是“vibe coding”写出来的恶意代码狠狠干翻了。

这次出事的是 LiteLLM，一个在 AI 开发者圈子里相当流行的开源项目。它本来扮演的是“万能接口层”角色，帮团队更轻松地接入不同大模型、做费用管理和调用调度。问题出在它依赖的第三方软件包上：恶意代码借道依赖链潜入，开始窃取触达范围内的登录凭证，并试图进一步扩散到更多账户和软件包。发现异常的是 FutureSearch 的研究科学家 Callum McMahon——他下载 LiteLLM 后，机器直接被搞到宕机，反而因此顺藤摸瓜，把这场攻击揪了出来。

这不是单纯的“某个项目倒霉了”

如果只是一个小众仓库被投毒，这件事不会引发这么大讨论。LiteLLM 之所以敏感，是因为它已经不是“玩具项目”，而是 AI 基础设施的一部分。GitHub 上数万星标、成千上万分叉、每天高频下载，这意味着很多创业团队、实验室乃至企业产品都可能把它嵌进自己的工作流里。今天 AI 应用开发讲究快，大家喜欢把现成组件一层层叠起来，结果就是：一旦某个核心依赖出问题，受影响的不只是一个仓库，而是一整条链路。

这也是为什么软件供应链安全在 AI 时代变得更扎眼。过去几年，从 npm、PyPI 到 GitHub Actions，开发者生态已经反复证明一个事实：攻击者不必正面突破你的主系统，只要混进你“顺手装一下”的依赖里，就有机会撬开整栋楼。SolarWinds、3CX 等事件早就给企业上过课，但 AI 热潮把开发速度推到极致之后，很多团队又重新回到了“先跑起来再说”的老路上。LiteLLM 这次像是一记响亮的耳光：模型再先进，工程习惯不进步，照样会被最老派的供应链攻击教育。

更尴尬的是，那些闪亮的安全徽章

让这起事件真正变得“硅谷黑色幽默”的，不只是恶意软件本身，而是 LiteLLM 网站上依旧高高挂着的 SOC 2 和 ISO 27001 安全认证标识。给它做这套合规服务的，是 YC 背景创业公司 Delve；而 Delve 最近本身就被质疑用 AI 生成虚假材料、靠“橡皮图章式”审计帮客户快速拿证。Delve 否认这些指控，但在这个时间点上，LiteLLM 的遭遇几乎让“Secured by Delve”这句话自带讽刺效果。

当然，公允地说，合规认证从来不是防弹衣。SOC 2 和 ISO 27001 的本意，是证明一家组织在流程、制度、权限管理、风险控制上达到一定水平，它们并不承诺“永不中毒”。一个通过认证的公司，仍然可能遭遇零日漏洞、员工误操作或者依赖链投毒。把证书理解成绝对安全，本来就是误读。

但问题也恰恰在这里：在现实商业世界里，这些证书早就被包装成销售话术，像一枚可以迅速换取客户信任的硬币。尤其在 AI 创业潮里，很多初创公司既想要“看起来像大公司一样可靠”，又缺乏真正把安全做深做实的资源，于是“合规即安全”的幻觉格外有市场。LiteLLM 事件提醒大家，安全不是一张 PDF，也不是官网页脚的小徽章；它更像一套枯燥、反复、没人鼓掌的日常劳动。

AI 创业公司，正在撞上自己的成长天花板

我觉得这件事最值得关注的地方，不是嘲笑某家公司翻车，而是它暴露了 AI 创业公司当前最典型的成长困境：产品爆红速度，已经远远快过治理能力的生长速度。LiteLLM 这种项目之所以受欢迎，就是因为它解决了一个真实痛点——多模型时代太碎片化，开发者需要统一入口。可一旦用户量暴涨，它就不再只是“几个工程师维护的开源工具”，而是事实上的公共基础设施。基础设施的代价是，你必须像运营机场而不是咖啡馆那样考虑风险。

这也是为什么 LiteLLM CEO Krrish Dholakia 现在选择把重点放在与 Mandiant 一起做取证和调查上。这是正确的姿态：先收拾现场，再给社区一个技术复盘。真正决定这家公司声誉的，接下来不是那张证书，而是它会不会公开根因、修复流程、重建依赖链审查机制，以及如何帮助受影响的开发者降低后续风险。开源社区对事故其实没那么苛刻，大家更讨厌的是遮遮掩掩和装作无事发生。

这场风波之后，谁还会相信“AI 驱动的合规”神话？

Delve 代表的是近两年很火的一门生意：用 AI 把繁琐的合规流程自动化，帮创业公司更快、更便宜地拿到 SOC 2、ISO 27001 等认证。这个方向不是没有价值，毕竟传统合规咨询确实又贵又慢，文档工作也极其机械。但自动化的边界在哪里？如果 AI 让流程变快，却顺便把“审慎”也压缩掉了，那它就很可能制造出一批看起来合规、实际上脆弱的公司。

这场事件也抛出一个行业层面的尖锐问题：当 AI 基础设施越来越依赖开源，当开源项目又越来越需要企业级信誉背书时，我们究竟该相信什么？相信审计机构、相信自动化平台、相信 GitHub 星标，还是相信一次次真实事故后的透明复盘？在我看来，答案恐怕不太浪漫：都不能全信。最可靠的仍然是更细颗粒度的供应链治理、更严格的依赖审查、更及时的异常监控，以及对“快”这件事稍微多一点戒心。

AI 行业这两年最擅长讲效率神话，恨不得让每个流程都被压缩成一键完成。但安全偏偏是那个最不肯配合的领域。它不性感，不会在发布会上赢掌声，还老是拖慢上线节奏。可每一次事故都在提醒人们：凡是被你嫌麻烦的步骤，最后都可能变成事故报告里最扎眼的那一行。

Summary: LiteLLM 中招不是孤立事故，它更像 AI 软件供应链进入高风险阶段的一次公开预警。我的判断是，未来一年围绕开源依赖、凭证窃取和“自动化合规”可信度的争议只会更多，行业也会重新审视那些被过度营销的安全认证。真正能穿越这轮洗牌的，不会是证书最多的团队，而是愿意把安全当成产品能力而不是销售装饰的公司。

LiteLLM软件供应链安全恶意软件依赖链投毒凭证窃取开源安全SOC 2ISO 27001DelveCallum McMahon