В Кремниевой долине разыгралась ситуация, достойная сатирического сериала от HBO. На этой неделе в популярном open-source проекте LiteLLM, созданном выпускником Y Combinator, нашли серьезное вредоносное ПО.
LiteLLM упрощает разработчикам работу с сотнями моделей ИИ и предлагает инструменты для контроля расходов. Проект взлетел: его скачивают по 3,4 миллиона раз в день, как отмечает Snyk среди других исследователей безопасности. На GitHub у него 40 тысяч звездочек и тысячи форков от тех, кто дорабатывал код под себя.
Вредоносное ПО выявил, описал и сообщил исследователь Callum McMahon из FutureSearch — компании, которая разрабатывает ИИ-агентов для веб-исследований. Злоумышленники внедрили его через зависимость, то есть чужой open-source компонент, на который полагался LiteLLM. Malware крало логины и пароли от всего, к чему прикасалось, а потом использовало их для доступа к другим пакетам и аккаунтам, собирая новые учетные данные.
После установки LiteLLM машина McMahon'а выключилась, что и заставило его копнуть глубже. Парадоксально, но ошибка в самом вредоносном коде привела к сбою. Из-за такой грубой работы и известный ИИ-исследователь Andrej Karpathy решили, что его написал кто-то в стиле vibe-кодинг.
Команда LiteLLM круглосуточно устраняет последствия, и радует то, что угрозу нейтрализовали быстро — скорее всего, за считанные часы.
Но есть еще один поворот, о котором не умолкают в X. На сайте LiteLLM по состоянию на 25 марта гордо красовались сертификаты соответствия SOC2 и ISO 27001.
Эти сертификаты выдала стартап Delve из Y Combinator, который автоматизирует compliance с помощью ИИ. Delve обвиняют в обмане клиентов: якобы компания генерировала фальшивые данные и использовала аудиторов, просто штампующих отчеты. Delve отвергает обвинения.
Важный нюанс: такие сертификаты подтверждают наличие надежных политик безопасности, но не гарантируют защиту от всех угроз, вроде этого malware. Даже SOC 2 касается зависимостей в коде, однако вредоносный код все равно может просочиться.
Инженер Gergely Orosz в X удивился: «Черт, я думал, это шутка... но нет, LiteLLM действительно защищена Delve».
Гендиректор LiteLLM Krrish Dholakia отказался комментировать использование Delve. Сейчас он сосредоточен на ликвидации последствий атаки. «Наша главная задача — совместное расследование с Mandiant. Мы поделимся техническими выводами с разработчиками после завершения forensics», — сказал он.