--- title: "Delve 对 LiteLLM 进行了安全合规检查,该 AI 项目遭遇了恶意软件攻击" type: "News" locale: "zh-CN" url: "https://longbridge.com/zh-CN/news/280540724.md" description: "本周,在一个由 Y Combinator 毕业生开发的开源 AI 项目 LiteLLM 中发现了恶意软件,该项目每天被下载 340 万次。恶意软件通过一个软件依赖项渗透,窃取登录凭据并进一步传播。尽管 LiteLLM 声称已通过 Delve 的安全认证,但这一事件引发了对合规性完整性的质疑。首席执行官 Krrish Dholakia 表示,他们正在调查此次攻击,并将与开发者社区分享所学到的经验教训" datetime: "2026-03-26T00:05:16.000Z" locales: - [zh-CN](https://longbridge.com/zh-CN/news/280540724.md) - [en](https://longbridge.com/en/news/280540724.md) - [zh-HK](https://longbridge.com/zh-HK/news/280540724.md) --- # Delve 对 LiteLLM 进行了安全合规检查,该 AI 项目遭遇了恶意软件攻击 这是一个看似从 HBO 讽刺剧中提取的硅谷真实事件。本周,在 Y Combinator 毕业生 LiteLLM 开发的一个开源项目中发现了一些非常恶劣的恶意软件。 LiteLLM 为开发者提供了轻松访问数百个 AI 模型的机会,并提供了支出管理等功能。根据监测事件的安全研究公司 Snyk 的数据,它是一款突破性热门应用,每天下载量高达 340 万次。该项目在 GitHub 上获得了 4 万颗星和数千个分支(那些以它为基础进行修改并使其成为自己项目的人)。 恶意软件是由 FutureSearch 的研究科学家 Callum McMahon 发现、记录并披露的,该公司提供用于网络研究的 AI 代理。恶意软件通过一个 “依赖项” 潜入,这意味着 LiteLLM 所依赖的其他开源软件。它随后窃取了它接触到的所有内容的登录凭据。凭借这些凭据,恶意软件获得了更多开源包和账户的访问权限,以收集更多凭据,依此类推。 恶意软件导致 McMahon 的机器在他下载 LiteLLM 后关闭。这个事件促使他进行调查并发现了它。具有讽刺意味的是,恶意软件中的一个漏洞导致他的机器崩溃。由于那段恶劣代码设计得非常粗糙,他(以及著名的 AI 研究员 Andrej Karpathy)得出结论,它一定是随意编码的。 LiteLLM 的开发者本周一直在不间断地努力纠正这一情况,好消息是它被相对快速地发现,可能在几小时内。 这个故事还有另一部分,X 上的人们无法停止讨论。LiteLLM 在我们查看时(3 月 25 日)仍然自豪地在其网站上展示它已通过两项主要安全合规认证,SOC2 和 ISO 27001。 但它是通过一家名为 Delve 的初创公司获得这些认证的。 Techcrunch 活动 旧金山,加州 |2026 年 10 月 13-15 日 Delve 是 Y-Combinator 的 AI 驱动合规初创公司,被指控误导客户关于其真实合规性的情况,声称生成虚假数据,并使用审核员来草率签署报告。Delve 对此指控予以否认。 LiteLLM 网站展示了 Delve 的安全认证 \*\* 图片来源:\*\*LiteLLM 这里有一点细微之处值得理解。这些认证旨在表明公司有强大的安全政策,以限制此类事件发生的可能性。认证并不会自动防止像 LiteLLM 这样的公司遭受恶意软件攻击。虽然 SOC 2 应该涵盖与软件依赖项相关的政策,但恶意软件仍然可以潜入。 即便如此,正如工程师 Gergely Orosz 在 X 上指出的,当他看到人们在网上嘲笑时,“哦,天哪,我以为这真的是个笑话……但不,LiteLLM\* 真的 \* 是 ‘由 Delve 保护的’。” 至于 LiteLLM,首席执行官 Krrish Dholakia 对使用 Delve 没有评论。他仍在忙于清理作为攻击受害者所造成的不幸局面。 “我们当前的优先事项是与 Mandiant 进行积极调查。我们承诺在法医审查完成后与开发者社区分享所学到的技术教训,” 他告诉 TechCrunch。 ## 相关资讯与研究 - [Anthropic 最新 AI 经济报告:AI 正在取代造它的人](https://longbridge.com/zh-CN/news/283938902.md) - [Kimi K2.6 开源直逼 GPT-5.4:涨 58% 的 API 定价,暴露了月之暗面的真实意图](https://longbridge.com/zh-CN/news/283468985.md) - [靠 “PUA” 软件,AI 就能立得住?](https://longbridge.com/zh-CN/news/283436580.md) - [ClawCon 首次登陆中国,全球资本与技术视线看向中国 AI](https://longbridge.com/zh-CN/news/283934136.md) - [eSign.AI 上线!e 签宝以全新 AI 战略破解信任困局](https://longbridge.com/zh-CN/news/283794807.md)