--- title: "Delve 對 LiteLLM 進行了安全合規檢查,該 AI 項目遭遇了惡意軟件攻擊" type: "News" locale: "zh-HK" url: "https://longbridge.com/zh-HK/news/280540724.md" description: "本週,在一個由 Y Combinator 畢業生開發的開源 AI 項目 LiteLLM 中發現了惡意軟件,該項目每天被下載 340 萬次。惡意軟件通過一個軟件依賴項滲透,竊取登錄憑據並進一步傳播。儘管 LiteLLM 聲稱已通過 Delve 的安全認證,但這一事件引發了對合規性完整性的質疑。首席執行官 Krrish Dholakia 表示,他們正在調查此次攻擊,並將與開發者社區分享所學到的經驗教訓" datetime: "2026-03-26T00:05:16.000Z" locales: - [zh-CN](https://longbridge.com/zh-CN/news/280540724.md) - [en](https://longbridge.com/en/news/280540724.md) - [zh-HK](https://longbridge.com/zh-HK/news/280540724.md) --- # Delve 對 LiteLLM 進行了安全合規檢查,該 AI 項目遭遇了惡意軟件攻擊 這是一個看似從 HBO 諷刺劇中提取的硅谷真實事件。本週,在 Y Combinator 畢業生 LiteLLM 開發的一個開源項目中發現了一些非常惡劣的惡意軟件。 LiteLLM 為開發者提供了輕鬆訪問數百個 AI 模型的機會,並提供了支出管理等功能。根據監測事件的安全研究公司 Snyk 的數據,它是一款突破性熱門應用,每天下載量高達 340 萬次。該項目在 GitHub 上獲得了 4 萬顆星和數千個分支(那些以它為基礎進行修改並使其成為自己項目的人)。 惡意軟件是由 FutureSearch 的研究科學家 Callum McMahon 發現、記錄並披露的,該公司提供用於網絡研究的 AI 代理。惡意軟件通過一個 “依賴項” 潛入,這意味着 LiteLLM 所依賴的其他開源軟件。它隨後竊取了它接觸到的所有內容的登錄憑據。憑藉這些憑據,惡意軟件獲得了更多開源包和賬户的訪問權限,以收集更多憑據,依此類推。 惡意軟件導致 McMahon 的機器在他下載 LiteLLM 後關閉。這個事件促使他進行調查並發現了它。具有諷刺意味的是,惡意軟件中的一個漏洞導致他的機器崩潰。由於那段惡劣代碼設計得非常粗糙,他(以及著名的 AI 研究員 Andrej Karpathy)得出結論,它一定是隨意編碼的。 LiteLLM 的開發者本週一直在不間斷地努力糾正這一情況,好消息是它被相對快速地發現,可能在幾小時內。 這個故事還有另一部分,X 上的人們無法停止討論。LiteLLM 在我們查看時(3 月 25 日)仍然自豪地在其網站上展示它已通過兩項主要安全合規認證,SOC2 和 ISO 27001。 但它是通過一家名為 Delve 的初創公司獲得這些認證的。 Techcrunch 活動 舊金山,加州 |2026 年 10 月 13-15 日 Delve 是 Y-Combinator 的 AI 驅動合規初創公司,被指控誤導客户關於其真實合規性的情況,聲稱生成虛假數據,並使用審核員來草率簽署報告。Delve 對此指控予以否認。 LiteLLM 網站展示了 Delve 的安全認證 \*\* 圖片來源:\*\*LiteLLM 這裏有一點細微之處值得理解。這些認證旨在表明公司有強大的安全政策,以限制此類事件發生的可能性。認證並不會自動防止像 LiteLLM 這樣的公司遭受惡意軟件攻擊。雖然 SOC 2 應該涵蓋與軟件依賴項相關的政策,但惡意軟件仍然可以潛入。 即便如此,正如工程師 Gergely Orosz 在 X 上指出的,當他看到人們在網上嘲笑時,“哦,天哪,我以為這真的是個笑話……但不,LiteLLM\* 真的 \* 是 ‘由 Delve 保護的’。” 至於 LiteLLM,首席執行官 Krrish Dholakia 對使用 Delve 沒有評論。他仍在忙於清理作為攻擊受害者所造成的不幸局面。 “我們當前的優先事項是與 Mandiant 進行積極調查。我們承諾在法醫審查完成後與開發者社區分享所學到的技術教訓,” 他告訴 TechCrunch。 ## 相關資訊與研究 - [AI 比較賺錢!三星自家手機反成記憶體漲價受害者](https://longbridge.com/zh-HK/news/283750433.md) - [OpenClaw 養龍蝦爆紅,企業也能打造 AI Agent?研華攜手八維智能降低門檻加速落地](https://longbridge.com/zh-HK/news/284133445.md) - [裁員潮與 AI 衝擊雙管齊下,全球逾四成遊戲開發者萌生退意](https://longbridge.com/zh-HK/news/284073606.md) - [律商聯訊在香港推出 Protégé General AI,為法律專業人士擴展安全、綜合的通用 AI 使用平台](https://longbridge.com/zh-HK/news/284165707.md) - [騰訊雲開源 AI Agent 沙盒平台 Cube Sandbox](https://longbridge.com/zh-HK/news/283597344.md)