2023年10月時点の情報によると、OpenAIの創設メンバーであるAndrej Karpathyは、AIエージェント開発ツールLiteLLMに対するサプライチェーン攻撃について、「現代のソフトウェアで最も恐ろしい事の一つ」と投稿しました。LiteLLMは月間9700万回のダウンロードがあり、バージョン1.82.7と1.82.8の感染したバージョンはPyPIから削除されています。
ただのpip install litellmだけで、マシン上のSSHキー、AWS/GCP/Azureのクラウド認証情報、Kubernetes設定、git認証情報、環境変数(すべてのAPIキー含む)、シェル履歴、暗号化ウォレット、SSL秘密鍵、CI/CDキー、データベースパスワードなどを盗むことが可能です。悪意のあるコードは4096ビットRSAで暗号化されたデータを偽装ドメインのmodels.litellm.cloudに送信し、Kubernetesのkube-systemネームスペースに特権コンテナを作成して持続的なバックドアを仕込もうとします。
さらに危険なのは感染の拡散性です。LiteLLMに依存するプロジェクトは連鎖的に感染します。例えば、pip install dspy(litellm>=1.64.0に依存)も同様に悪意のコードを引き起こします。感染したバージョンはPyPI上で約1時間しか存続せず、これは皮肉なことに、攻撃者自身の悪意のあるコードにバグがあり、メモリ枯渇でクラッシュするためです。開発者のCallum McMahonは、AIプログラミングツールCursorでMCPプラグインを使用した際にLiteLLMが依存関係として取り込まれ、インストール後にマシンが即座にクラッシュしたことで攻撃が明らかになったと述べています。Karpathyは、「もし攻撃者が今回の攻撃にvibe codeを使わなかったら、数日、あるいは数週間気付かれずに済んだかもしれない」とコメントしています。
攻撃組織TeamPCPは、2月末にLiteLLMのCI/CDパイプラインにおけるTrivyの脆弱性スキャナーの設定ミスを突いてGitHub Actionsから侵入し、PyPIの発行トークンを窃取、その後直接PyPIに悪意のあるバージョンをアップロードしました。LiteLLMの管理者であるBerri AIのCEO、Krrish Dholakiaは、すべての発行トークンを削除し、JWTベースの信頼できるリリースメカニズムへの移行を計画しています。PyPAはセキュリティ通知PYSEC-2026-2を発行し、影響を受けたバージョンをインストールしたすべてのユーザーに対し、環境内のすべての認証情報が漏洩したと仮定し、直ちに変更するよう勧告しています。
免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は
免責事項をご参照ください。
関連記事
ビットコイン、67日間のマイナス・ファンディング継続が10年ぶりの高水準に達し、$82,000に到達
K33の調査によると、ビットコインは水曜日に82,000ドルに到達し、3か月以上ぶりの最高水準を記録した。同時に67日間にわたるマイナスの資金調達率の連続(この10年で最長)も達成した。マイナスの30日平均資金調達率が続く期間が、3月15日から5月1日までの従来記録を上回った
GateNews7時間前
北朝鮮によるテロ攻撃の判決保有者をめぐる昇格争奪で、7,100万ドル相当のAave凍結資産:対テロ保険法を根拠に
北韓の攻撃計画が加速し、7,100万ドル相当のAave凍結資産が第3ラウンドに入った。原告は、TRIA法を用いてETHは北韓の国家財産であると主張し、盗難ではなく詐欺であることを強調することで、「犯人は贓物を所有していない」という抗弁を突破しようとしている。同時にAaveのstandingとガバナンス上の立場に異議を唱える。DeFi Unitedは資金調達で3億2,800万ドル超を集めており、資金は影響を受けたユーザーへの補償に十分である。案件は、DeFiの法理とDAOガバナンスにとっての重要な先例となる可能性がある。
ChainNewsAbmedia9時間前
米イラン紛争の最新の進展:「叙事的な怒り」作戦が終了し、暗号市場のセンチメントが回復
5月6日、米国は「史诗怒火(Operation Enduring Fury)」の終了を発表し、ホルムズ自由計画を一時停止しました。ビットコインは81,700ドルまで持ち直し、市場のセンチメントは落ち着きを取り戻しています。
GateInstantTrends14時間前
アメリカはイランの「壮大な怒り作戦」の終了を確認し、ビットコインは8.1万ドルまで反発した
米国務長官マルコ・ルビオ(Marco Rubio)が5月6日に発表したところによると、米国のイランに対する「壮大なる怒り作戦(史詩怒火行動)」は正式に終了し、米側は同作戦の当初の目標を達成した。同日、米国大統領ドナルド・トランプは公開の場で、ホルムズ海峡の船舶通行を円滑にする「自由計画(自由計劃)」をしばらくの間停止すると発表した。当日ビットコインは約81,000ドルまで反発し、2026年1月下旬以来の最高水準を記録した。
MarketWhisper15時間前
