AID-H-004.002
極高
Service & API Authentication
LiteLLM 的管理和測試端點,應該要求強身分的服務或管理者驗證。這本身不會修掉兩個 CVE,但能大幅縮小誰可以觸及 guardrail tester(安全規則測試器)或 connection-test(連線測試)控制平面。
Zenity 回報,攻擊者正在實際嘗試兩條針對 LiteLLM control plane(控制平面,集中管理設定、測試與路由的那一層)的利用路徑:自訂程式碼 guardrail(安全檢查規則)測試器,以及連線測試 API。這兩條路徑指向同一個結論:AI 閘道(集中轉接模型請求的服務)已經是攻擊者優先鎖定的目標,因為它握有或能碰到模型供應商金鑰、路由政策、在沙箱裡執行的自訂程式碼,以及下游 AI 應用仰賴的模型流量。
/guardrails/test_custom_code 的 POST request,內容包含 Python 探測程式碼和 CVE-2026-40217 的 sandbox escape(沙箱逃逸,從隔離環境跑出去)惡意程式碼。由於標準 LiteLLM proxy image(代理服務映像檔)以 root 執行,一旦攻擊者逃出沙箱,就可能在 container(容器)裡以 root 權限執行程式碼。/health/test_connection 送出 request,把攻擊者控制的 api_base(模型服務目標位址)塞進 litellm_params,再把 api_key 設成指向伺服器端環境變數的值,例如 LITELLM_MASTER_KEY。api_base。預設拒絕 egress(對外連線)、DNS/SNI allowlist(網域與 TLS 名稱允許清單),以及受治理的 outbound gateway(對外連線閘道),可以直接阻止攻擊者任意指定的目的位址收到 provider key 或 master key。api_base 這種濫用方式不能再被當成正常執行期輸入。/guardrails/test_custom_code、Python bytecode(位元碼)或 os.environ 請求內容、nested api_base、環境變數參照字串,以及 LiteLLM 對陌生網域發起的 outbound call(對外呼叫),都應該觸發高風險警示。api_base 連線測試行為影響的版本。AI 閘道修補應該視為高優先順序的正式環境變更。api_base。/guardrails/test_custom_code、/health/test_connection、litellm_params.api_base、os.environ、LITELLM_MASTER_KEY,以及 LiteLLM 對陌生網域的對外呼叫。如果無法排除外洩,就輪替相關金鑰。LiteLLM 不只是方便串接模型的 proxy。在很多部署裡,它是模型路由、provider 憑證、政策檢查、預算控制和開發者測試功能交會的地方。也因此,gateway 已經是攻擊者的首要目標:要快速套用修補、隔離執行路徑、限制對外連線(egress),並把每個暴露的管理功能都當成 AI 控制平面來保護。