WARNUNG Sicherheitslücke bei KI Zugriff auf Home Assistant durch MCP

Wir ihr wisst, bin ich sehr auf Sicherheit bedacht und verfolge immer sehr genau was so passiert Beonders im Bezug auf meine eigene Integration und KI.
Daher teile ich diese Meldung mit euch.. und warne noch einmal ausdrücklich davor, irgendeine KI auf euren HA zu lassen!

Wichtige Sicherheitswarnung – LiteLLM Supply-Chain-Angriff (24. März 2026)

Am 24. März 2026 wurden die Python-Pakete litellm 1.82.7 und 1.82.8 auf PyPI mit Schadcode verseucht. Die Versionen enthielten einen Trojaner, der bei jedem Start eines Python-Prozesses automatisch ausgeführt wird – auch ohne dass man LiteLLM jemals importiert oder verwendet hat.

Was wurde gestohlen?
SSH-Keys, Cloud-Tokens (AWS, GCP, Azure …), LLM-API-Keys (OpenAI, Anthropic, Google …), .env-Dateien, Kubernetes-Secrets, Crypto-Wallets und praktisch alles, was auf dem System lesbar war.

Betrifft das Home Assistant / Solar Forecast?
Home Assistant Core und Solar Forecast nutzen LiteLLM nicht als Abhängigkeit → nicht betroffen!

Du bist nur betroffen, wenn du LiteLLM explizit installiert hast (z. B. als eigenes Add-on) oder wenn ein anderes Tool/Framework es als transitive Dependency mitgezogen hat → Zugriff auf HA durch eine KI um HA zu konfigurieren, Fehler auszubessern,..

Besonders gefährdet sind Nutzer, die:

• Mit MCP-Plugins in Cursor, Visual Studio Code, Code Server etc. arbeiten
• LLMs (Claude, Gemini, ChatGPT, …) direkt aus der IDE heraus mit dem Home-Assistant-Host oder CLI interagieren lassen
• Tools wie Open Interpreter, LangChain, CrewAI, AutoGen, Agno oder ähnliche Agenten-Frameworks nutzen
• Proxmox, VM,. auf denen eine KI Zugriff hat um sie zu konfigurieren, warten, debuggen lokal installiert ist.

Empfehlung:
Sofort pip show litellm auf allen betroffenen Systemen prüfen und bei den bösen Versionen deinstallieren + alle Credentials rotieren / ändern.

Wie prüfe ich pip show litellm?
Ich glaube/hoffe nicht, dass ich betroffen bin. Mein HA war gestern ab kurz nach 12 für mehrere Stunden nicht mehr erreichbar per VPN erreichbar, obwohl der Internetzugriff und die VPN-Verbindung über die Fritzbox stabil lief. Ich habe noch keine Idee, was da los war, haben aber gestern auch nicht mehr geguckt.
In der Grafik sehe ich auch den Zeitraum, wo HA ein Problem hatte.

Screenshot 2026-03-25 191508486×291 39.9 KB

je nach dem…

verbinde dich auf deinen HA Server per SSH, oder starte die Oberfläche für ein SSH AddOn in HA… z.B. Advanced SSH & Web Terminal. Wenn das unter Einstellungen / Apps nicht vorhanden ist, kannst du es dort installieren…

Gib am Prompt pip show litellm ein.

Danke!
Diese Meldung beruhigt mich.

So kann ich in Ruhe gucken, was gestern los war.

Hab ich gemacht.

Antwort: “bash: pip: command not found”

So muss es aussehen, wenn kein Paket installiert ist.

Screenshot_20260325-1947461080×235 28.6 KB

Irgendwas fehlt mir anscheinend

So sieht es bei mir aus:

Screenshot_2026-03-25-19-50-55-406_io.homeassistant.companion.android-edit1080×232 46.6 KB

Kein python im HA aktiv. Dann wird er die libary nicht nachgezogen haben.

Genau müsste ich jetzt auch nachschauen. (geht gerade nicht. Sorry)

Interpretiere ich das richtig? Ich habe keine Python libs installiert und bin folglich nicht betroffen?

Natürlich hast Du Python HA ist in Python geschrieben.. aber die Frage ist auf was für einem System du bist (Docker mit Supervisor / ohne Supervisor / VM Container /… je nachdem varriert der Befehl zur Abfrage!

Wichtiger ist aber noch, bist Du auf Proxmox (oder anderem Host) musst du zunächst den Host selbst überprüfen. → die Bare Metal Installationen haben es da einfacher und sind auch sicherer, da sie keinen Host (ein potentielles Risiko weniger) haben und in der Regel immer Docker-Installationen sind.

Also ob du betroffen bist oder nicht.. lässt sich so nicht sagen du musst erst mal klären wie dein System aufgesetzt ist und Supervisor ja/nein .. Docker ja / nein Host infiziert ja/nein.. danach richtet sich der Befehl, den du nutzen kannst.

Bei @Kaysen899 ist es klassische Bare Metal installation daher reicht der eine Befehl und wird auch korrekt ausgeführt. Wäre er auf VM müsste er den auch noch überprüfen.. UND wenn jemand via SSH von einem Mac / WIndows / Linux eine KI auf seinen HA zugreifen lässt, müssen die auch überprüft werden.. Ergo immer die gesamte Kette!

Wichtig:
Laut dem Issue sind so gut wie alle lokalen LLMs betroffen die "echte" LLMs hosten.. also Olama + Claude z.B. Copilot.. ect

UPDTAE Downgrade hilft nicht.. mittlerweile ist auch die “alte” Version kompromittiert

Update (12:30 UTC): version 1.82.7 is also compromised, in addition to 1.82.8

Mein Tipp:

löscht sofort alle lokalen KI Agenten !!! Ändert eure SSH-Keys .. führt die empfohlen Schritte auf euren Macs, Linux, Windows , Proxmox, Hosts, Home Assistant ect aus.. installiert KEINE lokalen Programme von Claude, Gemini, CoPilot, ChatGPT… sperrt die KI konsequent von eueren System aus. Nutz nur die Webseiten wenn ihr Fragen habt… Nicht betroffen sind alle die eine “echte” lokale KI laufen haben ohne Anbindung ans Netz @Joachim-xo Du bist sicher!

Der LiteLLM Supply-Chain-Angriff ist real und ernst zu nehmen — danke für die schnelle Info.
Hatte ich noch nicht auf dem Schirm, aber…

Aber lass uns den Kontext richtig einordnen:

Das ist ein klassischer PyPI Supply-Chain-Angriff. Hätte genauso gut numpy, requests oder jedes andere Python-Paket treffen können. Das hat strukturell nichts mit “KI auf HA lassen” zu tun — es ist ein allgemeines Problem des Python-Ökosystems das jeden Entwickler betrifft, unabhängig davon ob er KI nutzt oder nicht.

Wer wirklich betroffen ist:
Entwickler die LiteLLM direkt oder als transitive Dependency (z.B. über LangChain, CrewAI, AutoGen) auf ihrem Entwicklungsrechner installiert haben.

HAOS selbst ist strukturell nicht betroffen

HAOS ist ein gehärtetes System ohne Standard-Python-Paketmanager. Ja, HA ist in Python geschrieben — aber das bedeutet nicht dass pip verfügbar ist oder externe Pakete nachinstalliert werden können. Ein Agent der SSH-Zugriff auf HAOS hat könnte pip install litellm hundertmal versuchen — es würde schlicht nicht funktionieren….

hab’s sogar für euch probiert per SSH

[core-ssh ~]$ pip install litellm
-bash: pip: command not found

Zur “gesamten Kette”:
Wer Ollama oder andere lokale LLM-Tools auf demselben Host wie HAOS betreibt, sollte dort ebenfalls prüfen — das ist korrekt. Aber das ist ein separates Thema für Ollama.

Und zur Klarstellung: Claude, Copilot und Gemini sind keine lokalen LLMs — die laufen auf externen Servern und haben keine lokale Python-Umgebung die durch einen PyPI-Angriff kompromittiert werden könnte.

Die eigentliche Lehre:
Abhängigkeiten im Blick behalten, pip show litellm auf dem eigenen Entwicklungsrechner prüfen (weniger auf HAOS), Credentials rotieren wenn betroffen. Das gilt für jedes Python-Projekt — unabhängig von KI.

Als konstruktiven Vorschlag… Wer seinen Entwicklungsrechner absichern will: virtuelle Umgebungen (venv) pro Projekt, keine globalen pip-Installationen, regelmäßig pip list auf bekannte CVEs prüfen… aber auch das geht besser mit KI

JaEin.. wenn sie in Studio Code Server, VS Studio als Integration laufen und entsprechende MCP`s nutzen ist es möglich. So wurde es entdeckt.. . dort ist es aufgefallen. Hinzu kommen noch einige Integrationen (die zugegeben sehr speziell sind) die litellm nutzen. Hier ist auch genau der Angriffspunkt auf den HA auch ohne litellm direkt auf dem HA.. daher sage ich ja " Kette Prüfen"

Danke! Ich bin auch nur drauf gestoßen da ich gerade den Penetrationstest meiner Integration mache → bei mir sind da direkt alle Alarmglocken angegangen, da ich aus anderen Diskussionen weiß, dass es hier ein paar Unvorsichtige gibt die ihren HA von Claude und Co warten, einrichten und überwachen lassen.. meist mit den entsprechenden Apps oder MCP (ohne das sie überhaupt wissen was es bedeutet )

Word! Genauso ist es.. daher betreibe ich auch den ganzen Zirkus mit meinen eigenen Integrationen und prüfe die gegen den Code..

Beruhigend

Hi

Hi,

kurze Frage: Ich nutze Ollama mit rein lokalen LLM´s (llama, deepseek, Quen und Hermes) auf meinem Win-Rechner laufen und greife vom HA darauf zu.

Sind diese nun auch betroffen, da es “echte” LLMs sind oder betrifft es die Varianten, die auf externe Quellen zugreifen?

Grüße

Hi thombe,

Ollama selbst ist nicht betroffen. Ollama ist in Go geschrieben — kein Python, kein pip, kein LiteLLM. Deine lokalen Modelle (llama, deepseek, Qwen, Hermes) sind reine Gewichtsdateien, da kann sich nichts einschleichen.

Betroffen wärst du nur wenn du zusätzlich zu Ollama ein Python-Framework installiert hast das LiteLLM als Abhängigkeit mitbringt — z.B. LangChain, Open WebUI (manche Versionen), LiteLLM Proxy, CrewAI etc.

Schnellcheck auf deinem Windows-Rechner:

pip show litellm

Wenn nichts gefunden wird — alles gut.
Verfallt nicht in Panik.

Gruß!

Nein, die sind nicht betroffen, @MA1 hat es perfekt erklärt.

Hi,

vielen Dank für die sehr ausführliche Antwort!

Das hat mich beruhigt

Grüße Thomas