概要
LiteLLM は Y Combinator の卒業生であり、開発者向けの数百の AI モデルへの簡単なアクセスを提供するオープンソースプロジェクトです。しかし、このプロジェクトがマルウェアに感染したことが明らかになりました。
問題の詳細
研究科学者の Callum McMahon は FutureSearch 社で働いており、彼が開発した AI エージェントが LiteLLM のオープンソースプロジェクト内で悪意のあるコードを検出したと報告しました。このマルウェアはログイン資格情報を盗み出し、さらなる被害を引き起こす可能性があります。
影響範囲
- ダウンロード回数:1日に最大340万回のダウンロードが行われていたと報告されています。
- GitHub スターアイコン数:LiteLLM のプロジェクトは GitHub で約4万個のスターを獲得していました。
対応状況
LiteLLM の開発者は、この問題に対処するために日夜作業を行っており、マルウェアが発見されたのは比較的早い段階であることが明らかになりました。
Delve とセキュリティコンプライアンス
LiteLLM の公式サイトでは、SOC2 および ISO 27001 という主要なセキュリティコンプライアンス認証を取得していることを示していました。しかし、これらの認証は Delve 社によって提供されており、Delve 社が顧客に対して誤ったコンプライアンス適合性を主張したと非難されています。
結論
LiteLLM の CEO Krrish Dholakia は現在、この問題の解決に全力で取り組んでおり、「当社の優先事項は Mandiant 社との共同調査です。技術的な教訓を開発者コミュニティと共有するためには、法的レビューが完了した後になります」と述べています。
関連情報
Delve: Y Combinator の AI パワードコンプライアンススタートアップで、顧客に対して誤ったコンプライアンス適合性を主張していると非難されています。しかし、Delve 社はこれらの主張を否定しています。