防御方刚刚在这场博弈中占据了上风。上周,当一个恶意版本的流行LiteLLM库出现在PyPI上时,第一个发现它的是AI——Anthropic的Claude——它解码了攻击载荷,识别出攻击向量,而大多数安全团队甚至还没意识到这个恶意包的存在。
安全研究员Callum McMahon在3月24日发现了这个被感染的包`litellm==1.82.8`。他没有手动逆向工程代码,而是将包上传到一个隔离的Docker容器中,让Claude进行调查。模型解码了嵌入在`litellm_init.pth`文件中的base64载荷,揭示了一个多阶段攻击,其目的是窃取环境变量和凭据。McMahon发布了完整的对话记录,展示了AI如何引导他完成每一步——从初步检查到确认恶意行为,再到找到PyPI的安全联系方式。
这很重要,因为针对PyPI的供应链攻击已经泛滥。恶意包现在数以千计,平台的志愿审核团队无法逐一检查。传统的静态分析工具完全漏掉了这个载荷。但Claude解析了代码,理解了它的行为,并在约二十分钟内发现了威胁。无需专业的恶意软件逆向工程技能。
这一事件的影响超出了单一案例。McMahon的方法暗示了一种新的防御范式:以包上传的速度进行AI辅助威胁分析。研究人员现在可以将解码混淆载荷的繁琐工作交给语言模型,将人类专业知识用于关于披露和缓解的战略决策。这不是假设。它确实发生了。一场关键的供应链攻击被中断了,因为一位研究人员能够使用强大的AI并战略性地运用它。
然而,胜利伴随着一个警告。Claude并没有自主扫描PyPI并发出警报。McMahon首先发现了可疑包并指导了调查。AI在分析方面表现出色,而非发现方面。要让AI成为真正的第一道防线,仍然需要有人提出正确的问题——或者构建自动化管道,主动将可疑包输入语言模型。几家安全初创公司已经在追求这种方法,但PyPI生态系统尚未对新上传的包采用系统性AI扫描。
更广泛的军备竞赛动态使这种张力变得紧迫。攻击者越来越多地使用AI生成多态恶意软件,制作令人信服的钓鱼诱饵,并以规模识别脆弱目标。如果防御者仅依赖传统的基于签名的工具,他们将落后。LiteLLM事件表明,惠及攻击者的相同AI能力也可以服务于防御者——如果部署得当。
McMahon报告后,PyPI最终删除了恶意包。数以千计依赖LiteLLM进行LLM代理基础设施的开发人员受到了保护,至少免受这一特定威胁的侵害。现在的问题是,安全社区是否会制度化AI辅助分析,还是将其视为一个孤立的成功案例。对于每天处理数百万次包下载的生态系统而言,差异可能决定AI是否成为软件供应链安全的净正或净负因素。