本质新闻

美国开源AI工具LiteLLM遭遇恶意软件攻击，该软件日下载量高达340万次，拥有4万GitHub星标。恶意代码通过依赖项植入，窃取登录凭证并横向扩散。安全研究员Callum McMahon在下载后因系统崩溃发现漏洞，认为其为粗制滥造的“vibe coding”产物。LiteLLM团队正与Mandiant合作调查。同时，LiteLLM官网宣称通过SOC2和ISO 27001认证，但认证服务由初创公司Delve提供，后者正面临伪造数据、雇佣“橡皮图章”审计机构的指控。LiteLLM CEO未回应Delve相关质疑，称当前重点为事件调查与技术复盘。

开源AI项目LiteLLM近日被发现遭恶意软件入侵，该软件通过依赖项传播，窃取登录凭证并横向扩散。事件由FutureSearch研究人员Callum McMahon发现，其设备在下载后因恶意代码崩溃。LiteLLM日下载量高达340万次，GitHub获4万星。尽管项目官网标称已通过SOC2和ISO 27001安全认证，但认证由初创公司Delve提供，后者被指存在伪造数据、使用“橡皮图章”审计等问题。LiteLLM CEO Krrish Dholakia表示正与Mandiant合作调查，暂无评论Delve认证事宜。事件引发对开源安全及第三方认证可信度的广泛讨论。