北京赛克艾威科技有限公司 2026-05-08
LiteLLM 是一款开源大语言模型统一接入网关与 Python SDK,可通过兼容 OpenAI 的标准 API 接口,统一调度 OpenAI、Anthropic、Google 等 100 \+ 种大模型服务,广泛用于 AI 应用开发、API 网关、多模型负载均衡、密钥管理与成本监控场景,支持私有化部署与容器化运行,是 AI 基础设施层的核心依赖组件,全球月下载量极高,被大量企业与开发者用于生产环境大模型调用链路。 该漏洞源于 POST /prompts/test 接口接收用户提交的模板后未进行沙箱防护直接渲染。攻击者持有有效 API 密钥即可构造恶意模板,在 LiteLLM Proxy 进程内执行任意代码,窃取敏感信息并可能控制宿主服务器。
暂无