LiteLLM 安全热修复 Release Note
更新时间:2026-03-24
背景
由于上游依赖 LiteLLM 出现公开供应链安全事件,OpenViking 在本次热修复中临时禁用所有 LiteLLM 相关入口,以避免继续安装或运行到受影响依赖。
变更内容
- 移除根依赖中的
litellm - 移除根
uv.lock中的litellm - 禁用 LiteLLM 相关的 VLM provider 入口
- 禁用 bot 侧 LiteLLM provider 和图片工具入口
- 增加 LiteLLM 已禁用的回归测试
建议操作
建议用户立即执行以下动作:
- 检查运行环境中是否安装
litellm - 卸载可疑版本并重建虚拟环境、容器镜像或发布产物
- 对近期安装过可疑版本的机器轮换 API Key 和相关凭证
- 升级到本热修复版本
可用命令:
python -m pip show litellm
python -m pip uninstall -y litellm兼容性说明
这是一个以止损为目标的防御性热修复版本。LiteLLM 相关能力会暂时不可用,直到上游给出可信的修复版本和完整事故说明。
参考链接
- 上游 issue: BerriAI/litellm#24512
- PyPI 项目页: https://pypi.org/project/litellm/
- GitHub Security: https://github.com/BerriAI/litellm/security
- OpenViking 热修分支: https://github.com/volcengine/OpenViking/tree/hotfix/v0.2.10-disable-litellm