根据 Andrej Karpathy 在推特的说明，恶意版 litellm 在 PyPI 上暴露 46 分钟（3 月 24 日 10:39–11:25 UTC），波及 2,112 个依赖包，其中约 1,403 个为直接依赖且使用开放版本范围，涉及 DSPy、Open Interpreter、PraisonAI、MLflow、langchain-litellm 等关键 AI 工具。根据 BerriAI 在 GitHub 的原始披露（issue #24512），恶意负载可外传敏感数据，且因包含 fork bomb 缺陷导致研究者机器崩溃从而被发现。依据 BerriAI 的官方跟踪帖（issue #24518），维护团队正在推进应急响应与修复建议。根据 FutureSearch 博客，正是该 fork bomb 错误暴露了木马并促成快速处置。依据 ramimac 的 TeamPCP 时间线，此次攻击属于更广泛行动的一环，路径为 Trivy → Checkmarx → litellm，并给出精确时间戳与 IOC 供防御方使用。根据 PyPA 公告（PYSEC-2026-2），该事件已被正式记录并提供检测与缓解指引。GitGuardian 报告称，Trivy 被攻破后泄露的 CI CD 密钥导致 PyPI 发布令牌被盗；Wiz 的分析将该活动与 TeamPCP 针对 Checkmarx KICS 的攻击相关联。根据下游项目的 issue 与紧急 Pin PR，DSPy 与 MLflow 已锁定安全版本，显示供应链已产生实际影响。对 AI 团队的关键措施包括：将 litellm 固定到已验证版本、轮换 PyPI 与 CI CD 凭据、审计 46 分钟窗口内的构建日志，并通过 SBOM 白名单与锁定文件防止中毒版本被拉取。