LiteLLM,這家幫助開發者在多個語言模型供應商之間路由請求的熱門AI閘道器新創公司,在遭受惡意軟體攻擊、其系統上的憑證竊取軟體被攻破後,已終止與安全合規廠商Delve的合作關係。此次攻擊發生在上週,影響了LiteLLM的基礎設施,儘管該公司透過Delve取得了兩項安全合規認證。
這一事件凸顯了AI基礎設施公司在擴展過程中面臨的日益嚴重的安全挑戰。LiteLLM已成為數千名開發者的關鍵基礎設施,這些開發者需要在OpenAI、Anthropic、Google和其他模型供應商之間切換而無需重寫程式碼。當這樣的閘道器被攻破時,可能會暴露下游應用程式的API keys和使用模式——這正是讓CTO們夜不能寐的供應鏈風險類型。
時機特別尷尬,因為LiteLLM很可能為這些合規認證向Delve付了費,結果卻發現他們的安全合作夥伴無法保護他們免受基本的憑證盜竊。雖然惡意軟體的具體細節尚不清楚,但被描述為「可怕」的事實表明,這不是一次複雜的民族國家攻擊,而是一次本應被防止的基本安全故障。
對於使用LiteLLM的開發者來說,這提醒大家要輪換API keys並審查授予第三方服務的存取權限。更廣泛的教訓是:如果底層實務存在缺陷,安全合規證書往往只是昂貴的廢紙。隨著AI基礎設施變得更加關鍵,我們需要能夠真正兌現安全承諾的廠商,而不僅僅是走過場。