litellm被黑97次下載量背后：AAISAF首次畫出AI攻擊

97 million。這是litellm的月下載量，也是昨天供應鏈攻擊的波及半徑。一次pip install，SSH密鑰、AWS憑證、API令牌、加密錢包——全部在1小時內被無聲抽走。

安全團隊事后復盤時發現，他們連攻擊面長什么樣都沒畫過。這不是能力問題，是地圖問題。

2023-2026：AI系統的"黑暗森林"時期

過去三年，每家公司部署AI系統時，都創造了一種安全團隊從未見過的攻擊面。提示詞注入、RAG管道投毒、智能體間操控、MCP服務器漏洞、語音AI繞過、AI依賴供應鏈攻擊——清單越列越長，但沒人告訴你怎么測。

現有框架的盲區很具體：

OWASP LLM Top 10給你漏洞分類，沒給測試方法；MITRE ATLAS畫了對手畫像，沒給從業者操作手冊；NIST AI RMF搭了治理架子，沒給攻擊技術細節。

我們補的是中間那層缺失的——技術級別的實操方法論。

AAISAF是什么：把MITRE ATT&CK翻譯成AI語境

AAISAF（AI Security Assessment Framework，AI安全評估框架）今天開源。結構完全對標MITRE ATT&CK：戰術→技術→子技術，但全部重新設計以適應AI系統特性。

10個戰術類別，87個評估技術，9個領域檢查清單，6個合規框架映射，3種評估時長（30分鐘/1-2天/5-10天），5級成熟度模型。

每個技術條目強制包含：攻擊描述與前置條件、AISS嚴重程度評分（0.0-10.0）、檢測指引、修復步驟、證據——CVE編號、已記錄事件或同行評審研究，缺一不可。

「我們不是在發明新漏洞，」框架作者Joseph Thacker寫道，「是在把散落在GitHub issue、學術論文、事故報告里的碎片，拼成一張能導航的地圖。」

TA10：MCP服務器——數千生產部署，零框架覆蓋

Model Context Protocol（模型上下文協議）是Anthropic 2024年11月發布的工具連接標準。14個月后，它已成為事實上的全球集成標準，數千生產部署——但安全框架的覆蓋數為0。

CVE-2025-6514，CVSS評分9.6，1,467臺暴露服務器面向公網。AAISAF為此建了12項技術：

工具描述投毒（AISS 8.1）、Rug Pull攻擊（8.4）、工具影子化（8.0）、跨域注入（8.3）、工具鏈提權（8.7）、SSRF（7.2）、數據外泄（7.5）、認證繞過（9.1）、惡意服務器注冊（8.5）、參數注入（7.0）、傳輸層利用（7.3）、同意疲勞利用（5.8）。

Thacker的生產環境運行著13個智能體的AI編排系統，MCP服務器是核心組件。這些技術不是實驗室假想，是從內部架構理解中長出來的。

「當你自己就是用戶，攻擊面的盲點會自己跳出來。」

TA06：語音AI——每天處理百萬通電話，安全框架沉默

醫療預約、金融客服、銷售外呼——數百萬AI電話智能體每天實時處理真人通話。自主決策、被默認信任，只因為聲音像人。

AAISAF首次系統映射了針對它們的攻擊技術：語音提示詞注入（AISS 7.0）、合成語音偽造/深度偽造（8.5）、對話狀態操控（6.8）、語音生物特征繞過（8.2）、實時音頻流篡改（7.5）、DTMF信號注入（5.4）、背景噪音攻擊（4.9）、語音驗證碼繞過（7.8）、多輪對話誘導（6.5）。

這些技術的共同點是：攻擊面不在代碼層，在聲學層和認知層。傳統安全工具看不見，但AAISAF給每個都標了檢測信號和緩解方案。

昨天的litellm事件：TA05供應鏈攻擊的教科書案例

回到開頭。litellm被入侵的方式，在AAISAF中歸類為TA05（AI供應鏈攻擊）下的子技術T05.003（惡意包注入）。

攻擊路徑很干凈：攻擊者獲取PyPI包維護權限→發布帶后門的補丁版本→依賴自動更新機制擴散→開發環境憑證收割。從入侵到被發現，窗口期以小時計。

AAISAF給這類攻擊的評估建議是：30分鐘快速檢查清單（驗證包簽名、審查最近版本變更、檢查網絡出站異常）+ 1-2天深度評估（依賴圖譜分析、構建流程審計、SBOM完整性驗證）。

「如果你連攻擊面地圖都沒有，連該查什么都不知道，」Thacker在發布文檔里寫，「97 million次下載只是數字，直到它變成97 million個潛在入口。」

AAISAF今天開源在GitHub。第一個pull request已經進來：某金融公司的安全團隊提交了他們在語音AI紅隊測試中的補充技術。

你的AI系統里，哪個組件的暴露面還沒被畫進任何地圖？