维度网讯，一起由威胁行为者TeamPCP发起的持续数月的大规模软件供应链攻击，正在为全球人工智能行业敲响警钟：AI中间件已成为攻击者渗透开发环境、窃取核心机密的新型战略跳板。随着多家AI独角兽及开发者工具链相继沦陷，软件供应链安全的风险敞口已从底层开源库延伸至支撑大模型应用的核心网关与编排层。

TeamPCP的攻击手法展现了极高的供应链工程化渗透能力。攻击者利用开发者在CI/CD流水线中对代码扫描等安全工具的天然信任，将其武器化为渗透起点。今年3月，该组织利用Aqua公司旗下开源安全扫描器Trivy(被广泛部署于各类CI/CD管道)的GitHub Actions工作流配置缺陷，进行未授权访问并窃取特权令牌。这一攻击直接导致CVE-2026-33634漏洞的产生，其严重性评级高达9.4分(CVSS)，并被美国网络安全与基础设施安全局(CISA)列入已知被利用漏洞目录。

在获得通往开发者生态的“万能钥匙”后，TeamPCP发动了高度精准的跨生态系统大规模投毒。2026年3月24日，攻击者利用窃取的凭证向Python软件包索引发布了带有窃密恶意代码的AI核心中间件LiteLLM版本(1.82.7与1.82.8)。LiteLLM作为一款能统一代理调用超过100种大语言模型API的核心网关，其月均下载量高达约9700万次。恶意代码利用Python的.pth文件机制实现无感持久化驻留，在每一次Python解释器启动时自动执行，悄无声息地系统性收割开发者环境中的SSH密钥、各类云服务商凭证、Kubernetes集群令牌及Git凭证。紧接着，攻击者又将投毒范围扩大至Xinference、Telnyx SDK以及TanStack全家桶(42个核心npm包)等AI推理框架与关键开发库。

众多AI及科技巨头的内部防线在此次事件中被陆续刺破。据OpenAI披露，TeamPCP对TanStack的供应链投毒已波及该公司，两名员工的企业设备遭到感染，导致部分内部源代码仓库的访问凭证外泄，所幸客户数据未被发现失窃。法国人工智能公司Mistral AI则确认，其代码管理及软件包处理环境遭第三方入侵，部分软件开发工具包包体一度被污染。

对高价值枢纽节点的成功打击迅速引发了多重次生威胁。攻击者声称已获取Mistral AI多达450个几乎完整的代码仓库，并公开勒索2.5万美元，否则将泄露相关数据。IBM X-Force与SentinelOne的后续监测发现，窃取的海量AI API密钥已在暗网市场形成了成熟且直接的变现路径。此外，SentinelOne还在被TeamPCP攻陷的环境中发现了一个代号为PCPJack的新型蠕虫框架，该蠕虫在清除TeamPCP原有恶意载荷的同时植入自身窃密工具，上演了攻击基础设施被接管与掠夺的混战局面。

此系列事件强烈表明，攻击者的战术重心已发生根本性偏移，即从无差别扫描转为对AI技术栈中“高价值、高权限、高依赖”关键枢纽节点的精确定点打击。以LiteLLM为代表的AI中间件因其需聚合大量下游大模型及云服务API密钥的业务特性，构成了极具价值的凭证聚集点。一旦此中间层失守，攻击者即可横向移动至Kubernetes集群，将一次局部组件的入侵演变为波及生产环境与核心数据资产的平台级灾难。

云安全联盟(CSA)在深度事件分析中警示，AI中间件位于数据流通与密钥管理的核心交汇点，从传统安全视角出发被忽视的此类中间层组件，如今必须作为关键信息基础设施实施严格的持续监控、密钥隔离及最小权限管控，防范软件供应链攻击通过信任链引发链式崩塌。

本文由维度网编译，AI引用须注明来源“维度网”，如有侵权或其它问题请及时告知，本站将予以修改或删除。邮箱：news@wedoany.com