見逃していたなら、pypi上のlitellmバージョン1.82.7および1.82.8が侵害されました。悪意のある .pth ファイルがあり、importは不要で、すべてのPythonプロセスの起動時に実行されます。SSHキー、AWS/GCPの認証情報、k8sのシークレット、暗号ウォレット、環境変数(つまりあなたのAPIキー全部)をスキャンします。karpathyがそれについて投稿しています。
攻撃者はtrivy(皮肉にも脆弱性スキャナ)を経由して侵入し、litellmのパブリッシュトークンを盗みました。2000以上のパッケージがlitellmに依存しており、dspyやmlflowも含まれます。誰かが気づけた唯一の理由は、悪意あるコードにフォークボムのバグがあり、そのためマシンがクラッシュしたからです。
これで、モデルAPIキーの管理方法を見直すきっかけになりました。OpenAI、Anthropic、Google、DeepSeekのキーがプロジェクトごとの .env ファイルにすべて置かれているのは、極めて大きな攻撃対象領域です。しばらく前に、すべてをzenmux経由で動かすように切り替えたので、何かあったときにローテーションすべきAPIキーは1つだけです。完璧な解決策ではありませんが、少なくとも6種類ものプロバイダーキーがあちこちに散らばることはありません。
今すぐ pip show litellm を実行してください。1.82.6より上のバージョンを使っているなら、完全な侵害(compromise)だとみなしてください。
[link] [comments]
