Prompt injection стал оружием: автономный бот за три часа заразил 47 тысяч установок LiteLLM

В марте 2026 года бэкдор в пакете LiteLLM — популярном шлюзе к языковым моделям, на котором работают CrewAI, DSPy, Microsoft GraphRAG и десятки других агентных фреймворков — пролежал на PyPI около трёх часов. За это время заражённую версию скачали почти 47 тысяч раз. Вместе с обновлением пользователи получали автономного бота-атакующего hackerbot-claw.

Самое пугающее в этой истории — почти полное отсутствие человека в цепочке атаки. В феврале бот самостоятельно находил неправильно сконфигурированные GitHub Actions в открытых репозиториях, через скомпрометированную сборку Trivy у Aqua Security украл токен публикации LiteLLM на PyPI и залил две версии с бэкдором напрямую в реестр. Никаких классических уязвимостей — просто агент с достаточными правами и автономией.

К 2026 году prompt injection превратился из лабораторного курьёза в рабочий класс атак с собственной лентой CVE и supply-chain инцидентами. И, что важнее всего, пока нет понятного способа «взять и починить» эту проблему — она встроена в саму архитектуру взаимодействия агентов с инструментами и окружением.