硅谷两大科技项目交织风波:LiteLLM遭恶意软件攻击,合规认证方Delve被质疑
美国开源AI工具LiteLLM遭遇恶意软件攻击,该软件日下载量高达340万次,拥有4万GitHub星标。恶意代码通过依赖项植入,窃取登录凭证并横向扩散。安全研究员Callum McMahon在下载后因系统崩溃发现漏洞,认为其为粗制滥造的“vibe coding”产物。LiteLLM团队正与Mandiant合作调查。同时,LiteLLM官网宣称通过SOC2和ISO 27001认证,但认证服务由初创公司Delve提供,后者正面临伪造数据、雇佣“橡皮图章”审计机构的指控。LiteLLM CEO未回应Delve相关质疑,称当前重点为事件调查与技术复盘。