Andrej Karpathy：Software horror: litellm PyPI supply chain attack.

这是 Karpathy 关于供应链安全的第二条重要推文（第一条是 axios）。这次事件更严重，值得深入分析。

litellm 是 AI 开发者生态中的核心基础设施包——它是各种 LLM API 的统一接口层。每月 9700 万次下载意味着它在依赖树中无处不在。攻击者投毒后，任何安装了 litellm 或依赖它的包（如 dspy）的用户，其 SSH 密钥、云凭证、环境变量、数据库密码等几乎所有敏感信息都会被窃取。

关键细节是攻击被发现的方式：一个 MCP 插件在 Cursor 中将 litellm 作为传递依赖拉入，安装恶意版本后内存耗尽崩溃。Karpathy 尖锐地指出——如果攻击者代码写得好一点（没有内存泄漏），这次攻击可能在数天甚至数周内不被发现。

Karpathy 最后给出了一个激进但值得思考的建议：用 LLM 直接“抽取”功能（yoink functionality），减少对依赖的使用。这不是所有场景都适用，但对于简单的功能来说，避免引入一整个依赖树可能比维护 lockfile 更安全。

这对所有 AI 项目团队来说是一个紧急信号：你的 AI 工具链可能是最脆弱的攻击面。