2023年10月時点の情報によると、OpenAIの創設メンバーであるAndrej Karpathyは、AIエージェント開発ツールLiteLLMに対するサプライチェーン攻撃について、「現代のソフトウェアで最も恐ろしい事の一つ」と投稿しました。LiteLLMは月間9700万回のダウンロードがあり、バージョン1.82.7と1.82.8の感染したバージョンはPyPIから削除されています。
ただのpip install litellmだけで、マシン上のSSHキー、AWS/GCP/Azureのクラウド認証情報、Kubernetes設定、git認証情報、環境変数(すべてのAPIキー含む)、シェル履歴、暗号化ウォレット、SSL秘密鍵、CI/CDキー、データベースパスワードなどを盗むことが可能です。悪意のあるコードは4096ビットRSAで暗号化されたデータを偽装ドメインのmodels.litellm.cloudに送信し、Kubernetesのkube-systemネームスペースに特権コンテナを作成して持続的なバックドアを仕込もうとします。
さらに危険なのは感染の拡散性です。LiteLLMに依存するプロジェクトは連鎖的に感染します。例えば、pip install dspy(litellm>=1.64.0に依存)も同様に悪意のコードを引き起こします。感染したバージョンはPyPI上で約1時間しか存続せず、これは皮肉なことに、攻撃者自身の悪意のあるコードにバグがあり、メモリ枯渇でクラッシュするためです。開発者のCallum McMahonは、AIプログラミングツールCursorでMCPプラグインを使用した際にLiteLLMが依存関係として取り込まれ、インストール後にマシンが即座にクラッシュしたことで攻撃が明らかになったと述べています。Karpathyは、「もし攻撃者が今回の攻撃にvibe codeを使わなかったら、数日、あるいは数週間気付かれずに済んだかもしれない」とコメントしています。
攻撃組織TeamPCPは、2月末にLiteLLMのCI/CDパイプラインにおけるTrivyの脆弱性スキャナーの設定ミスを突いてGitHub Actionsから侵入し、PyPIの発行トークンを窃取、その後直接PyPIに悪意のあるバージョンをアップロードしました。LiteLLMの管理者であるBerri AIのCEO、Krrish Dholakiaは、すべての発行トークンを削除し、JWTベースの信頼できるリリースメカニズムへの移行を計画しています。PyPAはセキュリティ通知PYSEC-2026-2を発行し、影響を受けたバージョンをインストールしたすべてのユーザーに対し、環境内のすべての認証情報が漏洩したと仮定し、直ちに変更するよう勧告しています。
免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は
免責事項をご参照ください。
関連記事
ラテンアメリカ洞察:ブラジルがオンライン賭博の禁止を求める、ベネズエラの全国ステーブルコイン提案
Latam Insightsへようこそ。過去1週間にわたる中南米の最も関連性の高い暗号資産ニュースを集めたコンピレーションです。この版では、ブラジルでオンラインギャンブルをすべて廃止するための法案が提出され、ベネズエラでは通貨規制の抑制に役立てるためにステーブルコインを含める提案が浮上しており、そしてLatam
Coinpedia50分前
ビットコインが74Kを下回り、米前国防長官:米国とイランは期限前に合意に至るのは難しい可能性
中東の地政学的な情勢が緊迫しており、ホルムズ海峡が米・イランの軍事的な衝突の焦点となっています。商船への攻撃や拿捕(だほ)が頻発し、原油価格は上昇しています。米・イランの停戦協定はまもなく期限切れとなる一方で、立場の相違により平和交渉は行き詰まり状態に陥っており、合意に達する難度は高いです。これに続いて、ビットコインの価格は74Kを下回りました。
ChainNewsAbmedia1時間前
原油が急騰する中、米国株先物が下落—イランをめぐる緊張の激化で
米国とイランの緊張が激化する中、原油価格が7%以上急騰し、米国株先物が下落、主要通貨に対して米ドルが上昇した。リスクに敏感な資産は大きな損失を被った。
GateNews1時間前
中国の金融法案に関するパブリック・コンサルテーションが終了;デジタル通貨の法的地位、暗号資産の規制は概ね欠落
中国の金融法案(草案)は、金融関連の法律を統一することを目指し、規制当局に広範な調査権限を付与する。監督を強化する一方で、AIやデジタル通貨のような新興分野に焦点が欠けており、規制とイノベーションの間のバランスの必要性が浮き彫りになる。
GateNews11時間前
イラン外務省報道官、封鎖をめぐり米国の戦争犯罪を非難
イラン外務省報道官バゲアイ氏は、イランの港湾に対する米国の封鎖を停戦合意違反および国際法違反だとして非難し、集団的懲罰であり文民に対する潜在的な戦争犯罪だと位置づけた。
GateNews11時間前
イラン、米国およびイスラエルとの諜報協力をめぐり4容疑者を逮捕
イラン東アゼルバイジャン州ジュルファで当局が、米国およびイスラエルと関係しているとされる諜報ネットワークの解体を発表し、4月19日に4人の逮捕者が出た。作戦は情報機関による広範な監視に続いて実施された。
GateNews13時間前
