AI開発界隈で3月24日に重大なセキュリティインシデントが発生しました。広く各種大規模言語モデル(LLM)と連携して使用されているPythonパッケージLiteLLMのバージョン1.82.8に悪意のあるコードが仕込まれ、以下のコマンドを実行するだけで
pip install litellm
SSHキー、AWS/GCP/Azureの認証情報、Kubernetes設定、Git認証情報、環境変数(すべてのAPIキー)、シェル履歴、暗号通貨ウォレット、SSL秘密鍵、CI/CDの秘密情報、データベースパスワードなどが一度に漏洩し、遠隔サーバーに送信される可能性があります。
感染範囲:LiteLLMに依存しているすべてのプロジェクトに影響
LiteLLMの月間ダウンロード数は9,700万回に達し、その規模は非常に大きいです。さらに深刻なのは、サプライチェーン攻撃の性質上、被害は直接のユーザーを超え、LiteLLMに依存するすべてのパッケージに波及します。例えば、
pip install dspy
(litellm>=1.64.0に依存)も同様に感染し、他の大規模プロジェクトも同じです。
Andrej KarpathyがX(旧Twitter)で分析したところ、悪意のあるバージョンの公開は1時間も経たずに判明したのは偶然であり、開発者Callum McMahonがCursor内で使用したMCPプラグインがLiteLLMを伝達依存として導入していたためです。バージョン1.82.8をインストールすると、コンピュータのメモリが枯渇してクラッシュしました。攻撃者のコードにバグがなければ、この攻撃は誰にも気づかれずに数週間続いた可能性があります。
LiteLLMのCEOアカウントが侵害された疑い、より大規模な攻撃活動の一環
セキュリティ研究者によると、LiteLLMのGitHubおよびPyPIアカウントが侵害された疑いがあり、この事件は孤立したものではありません。同じ攻撃グループ(TeamPCP)は、VSCodeやCursorの拡張機能にも大規模な侵入を行い、「ZOMBI」というリモートアクセス型トロイの木馬を仕込み、隠されたVNCサーバーやSOCKSプロキシを展開しています。これまでに50万以上の認証情報を窃取し、複数の大手企業にも被害が及んでいます。
即時対応:バージョンの確認とダウングレード
影響を受けているのはバージョン1.82.8です。このバージョンを既にインストールしている場合、すべての認証情報は漏洩したとみなして、直ちに更新またはローテーションを行ってください。
Karpathy:依存文化を見直す時
Karpathyはこの事件を契機に、より深い反省を提起しています。従来のソフトウェアエンジニアリングでは、依存パッケージは「レンガを積み上げてピラミッドを作る効率的な道具」と見なされてきましたが、サプライチェーン攻撃により、その前提はますます危険になっています。彼は、必要な機能を「直接抽出」(yoink)することで、外部パッケージ全体を導入するのではなく、シンプルかつ実現可能な範囲で必要な部分だけを取り込むことを優先すべきだと考えています。
この事件はまた、AIエージェントが自動的に
pip install
を実行するシナリオが一般化する中で、人間による審査の防衛線が急速に消えつつあることを示しています。パッケージレベルの防火壁は、「付加価値」から「基本的な要件」へと変化しています。
この記事はLiteLLMのPyPIサプライチェーン攻撃:月間9,700万回のダウンロードを誇るAIパッケージに悪意のあるコードが仕込まれ、SSHキーやAPI認証情報が漏洩した事例について、最初に「鏈新聞 ABMedia」に掲載されました。
