以下文章来源于字母AI ，作者刘奕君 本文来自微信公众号： 字母AI ，作者：刘奕君 如果你最近在用OpenClaw跑Agent、装Skill，或者即便只是正常装了几个常见依赖，那你可得好好 注意了！ 今日，资深开发者Daniel Hnyk在社交平台X上紧急发文警告称：LiteLLM的PyPI官方发布版本1.82.8 已被注入恶意代码，并着重强调"DONOTUPDATE"（请勿更新）。 随后OpenAI联合创始人、前特斯拉AI主管Andrej Karpathy也亲自发帖称："软件恐怖事件：litellm PyPI供应链攻击。" 不要认为LiteLLM被投毒和OpenClaw没有任何关系。 即使你没有主动安装LiteLLM，只要你用于OpenClaw的某个Skill或组件依赖了它，它就已经在你的 项目里运行了。 这就是所谓的依赖链：你依赖一个工具，这个工具再依赖另一个库，而那个库再依赖更多东西。只要 其中一环被投毒，风险就会顺着整条链条传导下来。 字母AI . 聚焦前沿科技，抢先看到未来。 在GitHub上，该项目（BerriAI/litellm）已斩获超4万颗星，月下载量高达9700万次，是连接开发者 与上百 ...