数百万人の開発者が利用する人気のAIゲートウェイを手がけるLiteLLMは、コンプライアンス系のスタートアップであるDelveを見送り、別の会社と監査人(オーディター)でセキュリティ認証をやり直すと、公に発表しました。この発表は、先週LiteLLMのオープンソース版が、恐ろしい「資格情報(クレデンシャル)窃取マルウェア」の被害に遭ったことを受けたものです。
その事件の前、LiteLLMはAIコンプライアンスのスタートアップであるDelveを雇用することで、2つのセキュリティ・コンプライアンス認証を取得していました。こうした認証は、企業が潜在的なインシデントを最小化するための手順を備えていることを確認することを目的としています。
Delveは、自社の実際のコンプライアンス状況について顧客を誤認させたと非難されているようです。具体的には、偽のデータを生成し、レポートにお墨付きを与える(ゴム印で承認する)監査人を使ったのではないか、とされています。Delveの創業者は、これらの申し立てを否定し、すべての顧客に対して無料の再テストと監査を提供すると申し出ました。この否定は、匿名のDelve内部告発者がさらに踏み込む後押しとなり、週末に、偽のコンプライアンスに関するとされる領収書(のようなもの)を公開するなどして、主張を強めました。
月曜日、LiteLLMのCTOであるIshaan Jafferは、Xに、自社はDelveの競合であるVantaを使って再認証を行い、コンプライアンス・コントロールを検証するために、自分たちで独立した第三者監査人を見つけると投稿しました。あまりに厳しい1週間を経て、LiteLLMは「足で投票」しています。
