Такая ситуация напоминает сюжет из сатирического шоу HBO про кремниевую долину. Недавно в популярном open source проекте LiteLLM, созданном выпускниками Y Combinator, нашли опасное вредоносное ПО.
LiteLLM помогает разработчикам легко подключаться к сотням ИИ-моделей и управлять расходами. Проект бьет рекорды популярности: его скачивают по 3,4 миллиона раз в день, как сообщают исследователи безопасности из Snyk. На GitHub у него 40 тысяч звезд и тысячи форков от тех, кто адаптировал код под себя.
Вредоносное ПО выявил, задокументировал и сообщил об инциденте исследователь Callum McMahon из FutureSearch — компании, которая разрабатывает ИИ-агентов для поиска в сети. Зловред проник через зависимость, то есть через сторонний open source компонент, на который полагался LiteLLM. Он крал учетные данные всего, к чему имел доступ. С их помощью получал вход в другие пакеты и аккаунты, чтобы собрать еще больше данных таким же образом.
После установки LiteLLM машина McMahon'а внезапно выключилась. Это заставило его разобраться и найти проблему. По иронии, именно ошибка в самом вредоносном коде привела к сбою. Из-за такой грубой работы известный специалист по ИИ Андреj Karpathy и McMahon решили, что код писали в стиле вайб-кодинга.
Команда LiteLLM с тех пор работает без остановки, чтобы устранить последствия. Хорошая новость: угрозу заметили быстро, скорее всего, в течение нескольких часов.
В этой истории есть еще один поворот, о котором активно говорят в X. На сайте LiteLLM по состоянию на 25 марта гордо указаны два ключевых сертификата безопасности — SOC2 и ISO 27001.
Эти проверки проводила стартап-компания Delve из Y Combinator.
Стоит разобраться в нюансе. Такие сертификаты подтверждают наличие надежных политик безопасности, которые снижают риски подобных инцидентов. Однако они не дают полной защиты: вредоносное ПО все равно может проникнуть, например, через зависимости. Хотя SOC 2 как раз касается вопросов с ними, проскочить все равно возможно.
Инженер Gergely Orosz в X отметил насмешки в сети: «Черт, я думал, это шутка... но нет, LiteLLM действительно был 'Secured by Delve'».
Гендиректор LiteLLM Krrish Dholakia отказался комментировать использование Delve. Сейчас он сосредоточен на очистке после атаки. «Наша главная задача — совместное расследование с Mandiant. Мы обязательно поделимся техническими выводами с сообществом разработчиков по завершении анализа», — сказал он TechCrunch.