北京赛克艾威科技有限公司 2026-04-27
LiteLLM 是一款开源大语言模型统一接入网关与 Python SDK,可通过兼容 OpenAI 的标准 API 接口,统一调度 OpenAI、Anthropic、Google 等 100 \+ 种大模型服务,广泛用于 AI 应用开发、API 网关、多模型负载均衡、密钥管理与成本监控场景,支持私有化部署与容器化运行,是 AI 基础设施层的核心依赖组件,全球月下载量极高,被大量企业与开发者用于生产环境大模型调用链路。 该漏洞源于代理在进行 API 密钥验证时,直接将调用方传入的密钥值拼接到数据库查询语句中,未使用参数化查询或安全转义。远程未认证攻击者可利用构造的 Authorization 头,无需权限即可执行恶意 SQL 指令,成功利用后可读取、篡改代理数据库数据,获取代理权限及托管的各类凭证密钥,实现未授权访问与权限提升。
暂无