Нещодавно в середовищі розробників програмного забезпечення розгорілася непередбачувана ситуація, натраплена на платформі LiteLLM, яка надає зручний доступ до численних моделей штучного інтелекту. Цей проект, що отримав визнання серед користувачів, завантажується до 3,4 мільйона разів на день, але його популярність була затінена виявленням небезпечного шкідливого програмного забезпечення.
Проблема зі шкідливим ПЗ
Знахідку оприлюднив науковець Каллум МакМахон з FutureSearch, компанії, що займається розробкою AI-агентів для веб-досліджень. Шкідливий код виявився впровадженим через залежність — інше програмне забезпечення, на яке полягало LiteLLM. Внаслідок його дії було компрометовано логін-креденціали багатьох користувачів, що дозволило зловмисникам отримати доступ до нових пакетів і облікових записів. За словами МакМахона, його пристрій зазнав збою після завантаження LiteLLM, що спонукало його провести розслідування.
Відзначимо, що розробники LiteLLM активно працюють над виправленням ситуації. На щастя, проблема була виявлена достатньо швидко, що дало змогу запобігти значніші витоки даних. Однак варто зазначити, що LiteLLM, станом на останні дані, хизується тим, що має два важливі сертифікати безпеки — SOC2 та ISO 27001, отримані через компанію Delve.
Delve, стартап, пов’язаний з Y Combinator, наразі опинився під підозрою. Йому приписують звинувачення у введенні в оману клієнтів щодо справжнього стану їхньої відповідності стандартам безпеки, зокрема через можливе використання фальшивих даних. Незважаючи на відмову Delve у звинуваченнях, обговорення цього інциденту активно триває в онлайн-просторі.
Існує цікава деталь: сертифікації, призначені для підтвердження міцності політик безпеки компаній, не завжди можуть запобігти нападу шкідливого програмного забезпечення. Хоча SOC2 має на меті охопити аспекти, пов’язані із залежностями програмного забезпечення, шкідливі коди все ж можуть проникати в системи.
Керівник LiteLLM, Крішь Дхолакія, поки не надає коментарів щодо співпраці з Delve. Він акцентує увагу на проведенні активного розслідування спільно з Mandiant.
«Наша поточна пріоритетність — активне розслідування. Ми зобов’язуємося ділитися отриманими уроками з розробницькою спільнотою після завершення криміналістичного огляду», — зазначив Дхолакія.
Ця ситуація демонструє, наскільки важливо дотримуватися високих стандартів безпеки в розробці ПЗ, а також ретельно перевіряти сертифікаційні процеси, оскільки для кожного з них може мати значення кожен шматочок коду.
