LiteLLM曝出凭证窃取恶意软件，Delve安全认证受质疑

事件概述

TechCrunch 6 月 26 日报道，开源项目 LiteLLM（由 Y Combinator 毕业生创建，提供一站式调用数百大模型的能力）在其最新发布的版本中被植入凭证窃取恶意软件。安全研究员 Callum McMahon（FutureSearch）在本地机器遭受异常关机后，追踪到恶意代码来源，并公开了完整的技术报告。

恶意软件渗透路径

• 依赖链注入：恶意代码并非直接写入 LiteLLM 主仓库，而是通过其依赖的第三方库进入。该库在 npm / PyPI 等公共仓库中未经过充分审计。
• 凭证窃取：一旦执行，恶意代码会搜集本机已登录的云服务、GitHub、Docker Hub 等凭证，并将加密后数据上传至攻击者控制的服务器。
• 自我传播：窃取的凭证随后被用于克隆其他开源项目，形成恶性循环，进一步扩大感染面。

规模与影响

• 下载量：据安全公司 Snyk 统计，LiteLLM 日均下载量高达 340 万次，用户基数极大。
• 社区响应：GitHub 上已有超过 40 k 星标和数千个 fork，受影响的开发者数量难以精确估计。
• 行业警示：此次事件凸显了 AI 开源生态链的依赖管理薄弱，尤其是涉及大量第三方模型 API 的项目，往往忽视供应链审计。

合规认证争议

LiteLLM 官网仍标榜已通过 SOC 2 与 ISO 27001 认证，认证机构为 YC 背书的 Delve。然而 Delve 本身近期被指控 伪造合规报告、使用虚假审计数据。Delve 官方否认指控，但其业务模式（自动化合规审计）已受到业界质疑。

各方回应

• LiteLLM CEO Krrish Dholakia：未对 Delve 发表评论，表示“当前核心任务是配合 Mandiant 完成取证，随后将向社区公开技术教训”。
• Mandiant：已介入取证工作，计划发布详细的安全建议报告。
• Delve：坚持其合规服务真实可靠，称将对指控进行内部审查。
• 安全社区：安全专家 Gergely Orosz 在 X 上调侃，“这不是玩笑，LiteLLM 真的是‘Secured by Delve’”。

行业意义与后续建议

1. 供应链审计必须上链：AI 开源项目应采用 SBOM（软件物料清单）并配合自动化依赖安全扫描工具。
2. 合规认证透明化：企业在引用第三方认证时，应公开审计报告与审计机构资质，防止“合规标签”沦为营销噱头。
3. 生态监管加强：监管机构可考虑将 AI 供应链安全纳入 SOC 2 范围，明确对依赖库的审计要求。
4. 社区快速响应：开源社区应建立漏洞通报渠道，提升发现与修复速度，防止类似事件蔓延。

“安全不是一次性检查，而是持续的供应链治理。” — Callum McMahon

小结

LiteLLM 事件提醒我们，AI 赋能的开源工具同样面临传统软件供应链的风险。随着 AI 模型调用量激增，开发者必须在功能便利与安全防护之间取得平衡，监管机构与合规服务商也需提升透明度与技术门槛，才能真正保障整个生态的可信度。