​校属各单位：

　　据有有关部门通报，AI模型代理框架LiteLLM在PyPI库遭受供应链投毒，已监测到攻击利用情况。攻击者疑似盗用项目维护者在PyPI库中的发布凭证，并发布包含恶意代码的LiteLLM，经开源社区分发后进一步扩大传播和攻击范围。受害者一旦安装并运行恶意LiteLLM，恶意代码即自动执行，窃取用户SSH密钥、云服务凭据等敏感信息，甚至横向扩散、植入后门并持久化控制。目前，受影响的LiteLLM版本为1.82.7和1.82.8,PyPI官方已紧急下架恶意版本并发布安全公告(URL链接：https://docs.litel1m.ai/blog/security-update-march-2026)。

　　请各单位做好隐患防范应对工作：一是全面开展排查整改，梳理本单位LiteLLM框架使用情况，通过“pip showlitel1m”命令排查，如发现使用受影响LiteLLM版本，立即回退至1.82.6版本。二是持续关注Python包索引官方和安全机构公告，及时更新已配置的敏感凭证，消除安全隐患。三是持续做好网络安全监测，一旦发现利用此供应链投毒的攻击事件，第一时间报告我办。