LiteLLM,这家帮助开发者在多个语言模型供应商之间路由请求的热门AI网关初创公司,在遭受恶意软件攻击、其系统上的凭证窃取软件被攻破后,已终止与安全合规供应商Delve的合作关系。此次攻击发生在上周,影响了LiteLLM的基础设施,尽管该公司通过Delve获得了两项安全合规认证。
这一事件凸显了AI基础设施公司在扩展过程中面临的日益严重的安全挑战。LiteLLM已成为数千名开发者的关键基础设施,这些开发者需要在OpenAI、Anthropic、Google和其他模型供应商之间切换而无需重写代码。当这样的网关被攻破时,可能会暴露下游应用的API keys和使用模式——这正是让CTO们夜不能寐的供应链风险类型。
时机特别尴尬,因为LiteLLM很可能为这些合规认证向Delve付了费,结果却发现他们的安全合作伙伴无法保护他们免受基本的凭证盗窃。虽然恶意软件的具体细节尚不清楚,但被描述为"可怕"的事实表明,这不是一次复杂的民族国家攻击,而是一次本应被防止的基本安全故障。
对于使用LiteLLM的开发者来说,这提醒大家要轮换API keys并审查授予第三方服务的访问权限。更广泛的教训是:如果底层实践存在缺陷,安全合规证书往往只是昂贵的废纸。随着AI基础设施变得更加关键,我们需要能够真正兑现安全承诺的供应商,而不仅仅是走过场。