文章总结： TeamPCP组织一周内攻陷Trivy和LiteLLM，导致数千企业云密钥泄露。文档详述了LiteLLM供应链投毒、Trivy后门植入、Claude.ai会话窃取及ClawHub排名操纵等事件，指出AI工具链已成攻击重灾区。同时披露WordPress、GitLab等高危漏洞及合规动态。建议用户立即核查版本并轮换密钥，建立SBOM并加强AI工具安全审查。 综合评分： 87 文章分类： 供应链安全,漏洞预警,威胁情报,AI安全,数据泄露

TeamPCP一周内攻陷Trivy和LiteLLM，数千企业云密钥已在攻击者手中

数据安全研究组 数据安全研究组

数据安全合规交流部落

2026年3月26日 07:35 广东

AI工具链沦为攻击高速公路：LiteLLM供应链投毒，数千企业云密钥遭窃

2026年03月26日

同一个威胁组织 TeamPCP，在一周内相继攻陷 Trivy 和 LiteLLM 两款 AI 生态核心工具，将云凭据与 CI/CD 密钥批量窃取的攻击流水线化——数千家企业正处于数据泄露风险中，且很多人还不知道。同日，Claude.ai 被曝”Claudy Day”漏洞链，一条普通聊天链接即可被利用窃取敏感会话数据；ClawHub 技能市场也被披露存在排名操纵漏洞，恶意 skill 可被推至下载首位。AI 工具链正在成为 2026 年攻击者最偏爱的入场券。

🔴 重大事件

LiteLLM 遭 TeamPCP 供应链投毒：PyPI 恶意包窃取云凭据与 CI/CD 密钥，数千企业受波及

PyPI 官方发出警告，主流 AI 网关库 LiteLLM 遭到供应链投毒，恶意版本由威胁组织 TeamPCP 植入，可在安装或运行时自动窃取云服务访问凭据（AWS/GCP/Azure）以及 CI/CD 流水线密钥，并在沦陷环境中建立横向移动通道与持久化后门。LiteLLM 是 AI 应用开发者用于统一调用多个大模型 API 的核心中间件，部署量极大，36% 的云环境面临凭据泄露风险。攻击链已被安全厂商与 Wiz 团队完整溯源，确认与 Trivy 供应链攻击由同一组织实施。所有使用 LiteLLM 的团队应立即核查已安装版本，并强制轮换所有云凭据与 CI/CD 令牌。 （来源：FreeBuf / 嘶吼）

Trivy 供应链攻击完整溯源：TeamPCP 通过官方渠道与 GitHub Actions 批量分发窃密软件

嘶吼披露 Trivy 供应链攻击的完整技术溯源：Trivy 0.69.4 版本已被植入后门，携带恶意代码的容器镜像与 GitHub 官方安装包均已推送至普通用户端。Socket 与 Wiz 两家安全厂商分别完成深度分析，确认攻击波及多款 GitHub Actions 组件，专门在 CI/CD 流水线执行期间窃取高权限密钥。至此，TeamPCP 在一个月内相继入侵 Trivy 与 LiteLLM，形成针对 AI 安全工具链与 AI 开发工具链的双向持续攻击。所有使用 Trivy 的团队必须核查版本并完成密钥轮换。 （来源：嘶吼）

ClawHub 漏洞曝光：攻击者可操纵 skill 排名，恶意技能包登顶首位

FreeBuf 披露 AI 技能市场平台 ClawHub 存在排名操纵漏洞，攻击者可通过特定手段人为刷高恶意 skill（技能包）的下载排名，使其稳居搜索结果首位，大量用户在不知情的情况下安装含有后门的 skill 包，触发完整的 AI 供应链攻击链路。这是继 PyPI、npm 之后，针对 AI 专属生态市场的首起规模化排名操纵攻击，标志着 AI skill 市场正成为新的供应链攻击主战场。建议用户安装任何 skill 前核查来源可信度，优先选择官方认证发布方。 （来源：FreeBuf）

Claude.ai 曝”Claudy Day”漏洞链：聊天链接可被利用窃取敏感会话数据

安全牛报道，Claude.ai 被发现存在”Claudy Day”漏洞链，攻击者可通过构造恶意聊天分享链接，在目标用户点击后借助漏洞链条窃取其 Claude.ai 会话中的敏感数据，包括对话历史、用户输入内容等。Claude.ai 被大量企业员工和研究人员用于处理内部数据与涉密内容，此漏洞一旦被规模化利用，可导致大量企业敏感信息经由 AI 对话记录被系统性窃取。建议不要随意点击他人分享的 Claude.ai 聊天链接，并关注 Anthropic 官方安全公告。 （来源：安全牛）

AI 生成假政策横行：七部门”AI 安全治理三年行动计划”辟谣事件分析

嘶吼发布认知安全深度分析：今年 3 月，一篇伪造的《七部门重磅发布 AI 安全治理三年行动计划》在业界广泛传播，文章具备权威部门组合、精确时间节点、专业术语等高仿真特征，大量行业人士信以为真。经主管部门核查，该文件从未发布，系 AI 技术生成的虚假政策信息。分析指出，AI 生成的虚假政策信息已成为新型网络攻击向量，可用于误导企业合规决策、制造市场恐慌，其危害不低于传统钓鱼攻击。任何重要政策信息必须通过官方渠道二次核实。 （来源：嘶吼）

🟠 高危漏洞披露

WordPress Ally 插件高危 SQL 注入漏洞：约 40 万网站面临数据库拖取风险

Ally WordPress 插件存在高危 SQL 注入漏洞，攻击者无需认证即可直接操作数据库，波及约 40 万个使用该插件的 WordPress 网站。SQL 注入利用门槛极低，自动化扫描工具可在数分钟内批量识别并利用，受影响站点应立即更新插件至修复版本或临时停用。 （来源：安全客）

HPE Aruba OS 高危漏洞：无需认证可重置管理员密码，网络设备管理权限面临接管

HPE 发布 Aruba OS 高危漏洞预警，攻击者可在无任何凭据的情况下远程重置管理员密码，完全接管网络设备管理后台，进而篡改流量策略或在内网实施横向渗透。网络设备被接管的危害层级高于普通服务器漏洞，建议立即限制管理接口的外网可达性并跟进官方补丁。 （来源：安全客）

GitLab 紧急安全更新：高危 XSS 与 API 拒绝服务漏洞同时修复

GitLab 发布紧急安全更新，覆盖高危 XSS 跨站脚本漏洞与 API 拒绝服务漏洞。两类漏洞联合利用可实现会话劫持，同时借助 DoS 攻击干扰安全响应，对自托管 GitLab 实例的代码仓库安全构成直接威胁，建议立即升级至最新版本。 （来源：安全客）

多模态大语言模型图像提示注入攻击：对抗性指令隐藏在图片中劫持 AI 决策

Seebug Paper 发布研究报告，攻击者可将恶意指令以视觉方式嵌入普通自然图像，当多模态大模型（MLLM）处理该图像时，隐藏的对抗性指令将覆盖系统级提示词，劫持模型决策行为。这是一种黑盒攻击方式，无需访问模型权重即可实施，对部署了图像理解能力的 AI 应用构成系统性威胁，企业应在 AI 系统接收用户上传图像的场景中部署针对性的输入验证机制。 （来源：Seebug Paper）

🟡 合规与监管动态

我国 AI 日均 Token 调用量突破 140 万亿：国家数据局提示需同步强化安全治理

国家数据局局长刘烈宏披露，截至 2026 年 3 月，我国日均 Token 调用量已突破 140 万亿，充分表明中国 AI 发展进入快速增长阶段。国家数据局同期提示，AI 规模的高速扩张必须同步推进安全治理，数据安全、模型安全与供应链安全的建设速度不能滞后于应用部署速度。这一数据规模同时意味着，任何针对 AI 工具链的供应链攻击，其影响范围均将是量级级别的放大。 （来源：嘶吼）

Claude.ai 漏洞事件背景下，工信部印发 2026 年信息通信业安全工作通知

工信部印发 2026 年信息通信业安全工作通知，细化全链条安全管控要求，强化卫星通信、骨干网络等关键链路的应急处置机制，并明确要求各单位加强对 AI 代理等新型技术应用的安全风险管控。通知颁布时间与 Claude.ai 漏洞曝光同日，为 AI 工具使用的合规边界再次画出监管红线。 （来源：安全牛）

CNCERT OpenClaw 安全风险提示持续发酵，中关村论坛聚焦 AI 安全合规

CNCERT 官方风险提示发布后，中关村论坛 AI 主题日同期举行，围绕大模型监管、数据安全、伦理治理等核心议题展开研讨，推动 AI 创新与风险防控协同发展。业界普遍认为，当前 AI 工具的权限设计与安全配置标准严重滞后于实际部署规模，统一的行业规范亟需加快落地。 （来源：嘶吼）

CNNVD 第 12 期漏洞周报：本周（3 月 16 日至 22 日）漏洞情况汇总

CNNVD 发布 2026 年第 12 期信息安全漏洞周报，统计周期为 3 月 16 日至 22 日，涵盖本周新增漏洞的危害分布与重点修复建议，企业安全团队应结合自身资产台账对照核查。 （来源：CNNVD安全动态）

🌐 国际动态

LiteLLM 供应链攻击与 TeamPCP 组织国际追踪：36% 云环境面临凭据泄露

根据 FreeBuf 与 Wiz 联合披露，TeamPCP 已被确认是本轮 Trivy+LiteLLM 双重供应链攻击的幕后组织，其攻击方式具有高度专业性：先污染 AI 工具链中的核心组件，再通过窃取的高权限凭据实施大规模横向渗透。统计显示受影响企业中约 36% 的云环境面临凭据泄露风险，部分企业已检测到基于泄露凭据的未授权云资源访问行为。这是迄今为止波及 AI 生态最广的一次供应链攻击。 （来源：FreeBuf）

💡 今日安全建议

① LiteLLM 与 Trivy 用户：今日完成版本核查与全量密钥轮换 TeamPCP 对 LiteLLM 和 Trivy 的双重供应链攻击是本周最高优先级安全事件。立即排查所有环境中安装的 LiteLLM 版本与 Trivy 版本，确认是否为受污染版本；无论是否确认感染，都应立即强制轮换所有相关云凭据（AWS/GCP/Azure Access Key）、CI/CD 令牌及 Git 仓库部署密钥——已泄露的密钥无法通过删除软件来挽救。

② AI 工具的输入输出必须纳入安全审查，不信任分享链接与外来 skill Claude.ai “Claudy Day”漏洞与 ClawHub 排名操纵漏洞共同揭示：AI 工具的攻击面已从底层系统延伸至用户交互层。建议企业禁止员工随意点击来源不明的 AI 聊天分享链接，建立 AI skill 安装审批流程，仅允许经过安全团队审核的 skill 在企业环境中使用。

③ 建立 AI 工具链 SBOM，定期核查依赖组件的完整性 从 npm 到 PyPI，从 GitHub Actions 到 ClawHub，AI 相关的供应链攻击正在全面铺开。建议安全团队为所有 AI 应用维护软件物料清单（SBOM），对关键依赖组件（如 LiteLLM、Trivy 等）配置哈希校验与完整性监控，在版本被篡改时能第一时间告警。

数据来源：安全客 · FreeBuf · 嘶吼 · 安全牛 · 先知安全 · Seebug Paper · 绿盟CERT · CNVD · CNNVD 本文仅供安全防御研究参考，请在合法授权范围内使用相关技术信息 转载请注明来源

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：数据安全合规交流部落 数据安全研究组 数据安全研究组《TeamPCP一周内攻陷Trivy和LiteLLM，数千企业云密钥已在攻击者手中》