根据 Andrej Karpathy 在推特的说明，恶意版 litellm 在 PyPI 上暴露 46 分钟（3 月 24 日 10:39–11:25 UTC），波及 2,112 个依赖包，其中约 1,403 个为直接依赖且使用开放版本范围，涉及 DSPy、Open Interpreter、PraisonAI、MLflow、langchain-litellm 等关键 AI 工具。根据 BerriAI 在 GitHub 的原始披露（issue #24512），恶意负载可外传敏感数据，且因包含 fork bomb 缺陷导致研究者机器崩溃从而被发现。依据 BerriAI 的官方跟踪帖（issue #24518），维护团队正在推进应急响应与修复建议。根据 FutureSearch 博客，正是该 fork bomb 错误暴露了木马并促成快速处置。依据 ramimac 的 TeamPCP 时间线，此次攻击属于更广泛行动的一环，路径为 Trivy → Checkmarx → litellm，并给出精确时间戳与 IOC 供防御方使用。根据 PyPA 公告（PYSEC-2026-2），该事件已被正式记录并提供检测与缓解指引。GitGuardian 报告称，Trivy 被攻破后泄露的 CI CD 密钥导致 PyPI 发布令牌被盗；Wiz 的分析将该活动与 TeamPCP 针对 Checkmarx KICS 的攻击相关联。根据下游项目的 issue 与紧急 Pin PR，DSPy 与 MLflow 已锁定安全版本，显示供应链已产生实际影响。对 AI 团队的关键措施包括：将 litellm 固定到已验证版本、轮换 PyPI 与 CI CD 凭据、审计 46 分钟窗口内的构建日志，并通过 SBOM 白名单与锁定文件防止中毒版本被拉取。

据 @galnagli 在 X 平台披露，受此前 Trivy 事件牵连，LiteLLM 1.82.7 与 1.82.8 被植入信息窃取程序，凭证被上传到 models.litellm.cloud 指挥控制域名，可能影响成千上万环境；据 BerriAI 在 GitHub 议题 #24512 报告，受影响用户需立刻轮换 API 密钥与系统凭证、排查到该域名的外联流量，并回滚或固定可信版本以阻断供应链攻击在 AI 基础设施中的连锁扩散。据 @ramimacisabird 指出，此事件凸显开源供应链层层传染风险，AI 应用中的密钥一旦泄露将引发下一轮入侵，企业应落实可重现构建、制品签名、SBOM，以及最小权限与细粒度作用域的 LLM 连接器密钥管理。