 | ご存じないかもしれませんが、昨日 LiteLLM の2つのバージョン(1.82.7 と 1.82.8)がハックされました つまり、これらの3時間の間にインストールした場合、数多くのAIエージェントのプロジェクトが侵害されています PyPIで3時間公開されていました。1日あたり340万回ダウンロードされています。 SSHキー、認証情報、シークレット、APIキー、暗号ウォレットのシードフレーズを盗まれました。 どうやって起きたか: 攻撃者は最初に Trivy(セキュリティスキャナ)を侵害しました。LiteLLM のCIが Trivy を実行したときに、彼らの PyPI トークンが漏えいしました。そのトークンを使って、汚染されたバージョンを公開したのです。 最悪の点:バージョン 1.82.8 は .pth ファイルを使用していました。悪意のあるコードは、Python が起動するたびに実行されます。pip だけ実行した場合でもです。 これについての(そしてこのredditでの投稿も含む)いくつかの記事が出てきています。非常に大きな問題です。なぜなら、多くのエージェント用ツールキット(私が個人プロジェクトで作っているものも含め)で裏側に LiteLLM が使われているからです。 どちらかのバージョンをインストールした場合:
安全なバージョン:1.82.6 以下のもの [link] [comments] |
振り返って: ヒーローメッセージのまずい選択
Reddit r/LocalLLaMA / 2026/3/25
📰 ニュースDeveloper Stack & InfrastructureSignals & Early TrendsTools & Practical Usage
要点
- LiteLLM バージョン 1.82.7 および 1.82.8 は、PyPI 上で 3 時間の間に侵害を受けていました。ダウンロード数は 1 日あたり数百万に達し、潜在的に多くの AI エージェントのプロジェクトに影響した可能性があります。
- 攻撃チェーンは、まず Trivy セキュリティスキャナを侵害し、その後漏えいした PyPI トークンを使って、有害な(汚染された)LiteLLM パッケージを公開するという流れでした。
- バージョン 1.82.8 には、Python の起動時に実行される悪意のある .pth ペイロードが含まれており、バックドアは通常の pip の使用中であっても動作し得ました。
- レポートでは、影響を受けたユーザーに対して、特定のローカルパスでバックドアを確認すること、すべての資格情報(クレデンシャル)をローテートすること、そして不審な Kubernetes Pod を探索(ハンティング)することを含む、即時のインシデント対応手順を推奨しています。
- 安全な復旧(リメディエーション)策は、LiteLLM をバージョン 1.82.6 以下の任意のバージョンへダウングレードし、インストール済みの 1.82.7/1.82.8 は完全に侵害されている可能性があるものとして扱うことです。
