%20--%3e%3cdefs%3e%3cstyle%3e%20.st0%20{%20fill:%20%23061b40;%20}%20.st1%20{%20fill:%20%23306af1;%20}%20.st2%20{%20fill:%20%235ce5cf;%20}%20%3c/style%3e%3c/defs%3e%3cg%3e%3cpath%20class='st0'%20d='M55,10.5h9v3h-9v9h12V7.5h-12v3ZM64,19.5h-6v-3h6v3Z'/%3e%3cpolygon%20class='st0'%20points='69%2016.5%2078%2016.5%2078%2019.5%2069%2019.5%2069%2022.5%2081%2022.5%2081%2013.5%2072%2013.5%2072%2010.5%2081%2010.5%2081%207.5%2069%207.5%2069%2016.5'/%3e%3cpolygon%20class='st0'%20points='95%2010.5%2095%207.5%2083%207.5%2083%2022.5%2095%2022.5%2095%2019.5%2086%2019.5%2086%2016.5%2095%2016.5%2095%2013.5%2086%2013.5%2086%2010.5%2095%2010.5'/%3e%3cpath%20class='st0'%20d='M40,1.5v21h11.6l1.4-1.4v-7.6h0c0,0-1.4-1.5-1.4-1.5l1.4-1.4V2.9l-1.4-1.4h-11.6ZM50,19.5h-7v-6h7v6ZM50,10.5h-7v-6h7v6Z'/%3e%3c/g%3e%3cpath%20class='st1'%20d='M23.1,24L14.7,4.8l-4.9,11.2h3.8l-1.8,4H3.3L12.1,0H2C.9,0,0,.9,0,2v20c0,1.1.9,2,2,2h21.1Z'/%3e%3cpath%20class='st2'%20d='M34,0h-16.8l10.6,24h6.2c1.1,0,2-.9,2-2V2C36,.9,35.1,0,34,0ZM32.5,20h-4V4h4v16Z'/%3e%3c/svg%3e)
3月24日、AIオープンソースエコシステムで重大なセキュリティイベントが発生しました。有名なPythonライブラリ「litellm」がPyPIプラットフォームに悪意のあるコードが組み込まれ、典型的なサプライチェーン攻撃の事例となりました。この攻撃は、ユーザーが積極的に呼び出さなくても、該当するライブラリをインストールしただけで起動され、影響範囲が非常に広いです。
事件の核心: litellmに自動実行型のバックドアが組み込まれた
今回の影響を受けたバージョンは1.82.8(UTC 10:52に公開)で、その中に「litellm_init.pth」という悪意のあるファイルが含まれています。このファイルは、毎回Pythonプロセスが起動するたびに自動的に読み込まれて実行されます。開発者が手動でlitellmをimportしなくても、プロジェクトが間接的にこのライブラリを依存としている場合、すぐに被害を受けることになります。続いて公開された1.82.7バージョン(UTC 10:39に公開)も汚染されています。
なぜlitellmが高価値なターゲットとなったのか?
litellmは複数の大規模モデルAPIを統一して呼び出すためのPythonライブラリであり、GitHubでは4万以上のスターを獲得し、毎月9,500万回のダウンロードが行われています。現在、2,000以上のオープンソースパッケージがこれを依存としており、DSPy、MLflow、Open Interpreterなどの主要なAIツールチェーンを含んでいます。多くの開発者は意図的にインストールしていないにもかかわらず、無意識のうちにこのリスクポイントを導入している可能性があります。
悪意コードの動作: システム全体から機密情報を盗む
悪意のあるコードは、ホスト上の機密情報を全面的にスキャンし、以下の情報を盗み出します:
- SSHキー
- AWS/GCP/Azureのクラウド資格情報
- Kubernetesのキー
- 環境変数ファイル
- データベース構成
- 暗号通貨ウォレット
これらのデータは暗号化されて、攻撃者が制御するドメインに送信されます。Kubernetes環境が検出された場合、悪意コードはサービスアカウントトークンを利用して、クラスタ内のすべてのノードに特権Podを自動的に展開し、横向きに拡散することで、脅威がさらに拡大します。
発見過程には皮肉が含まれている: 攻撃者が「バグ」を自ら暴露した
この攻撃の暴露は、偶然のフォークボムによって起こりました。研究者はCursorエディタでMCPプラグインを使用していた際、プラグインが間接的にlitellmに依存していたため、悪意のある.pthファイルがPythonサブプロセス内で繰り返し起動し、メモリが瞬時に枯渇しました。この「自爆」により、事件は迅速に公表されました。有名なAI専門家であるAndre Karpathy氏は、「もし攻撃者のコードにこのようなミスがなければ、この詐欺は数日乃至数週間の間に気づかれることなく潜伏していたかもしれない」と述べました。
攻撃のトレース: Trivyがサプライチェーンの崩壊の起点だった
原因は、litellmのCI/CDプロセスにあり、Trivyという脆弱性スキャンツールが使われていました。しかし、Trivyは3月19日に同じ攻撃グループであるTeamPCPによって侵害されていたのです。攻撃者は汚染されたTrivyを通じてlitellmのPyPI公開トークンを盗み、直接悪意のあるバージョンを公開しました。以前に3月23日にはCheckmarx KICSも同じグループによって攻撃されています。セキュリティ研究者であるGal Nagli氏は、「オープンソースのサプライチェーンは連鎖的な崩壊を起こしており、Trivyの侵害が直接litellmの破壊につながった。数万の本番環境の資格情報が攻撃者に渡り、今後の攻撃の新たな弾薬となることになるだろう」と評価しています。
攻撃者が「口封じ」行動を試みたが失敗
GitHub上での最初のissue報告が登場した後、攻撃者は102秒以内に73個の不正取得されたアカウントを使って88件の迷惑コメントを投稿し、議論を埋め尽くそうとしました。その後、不正取得されたメンテナーアクセス権を使い、issueを強制的に閉じました。コミュニティは迅速にHacker Newsへ議論を移し、この出来事の追跡を続けました。
専門家の意見: サプライチェーン攻撃は最も恐ろしい隠れた脅威だ
Karpathy氏はこの出来事をきっかけに、ソフトウェアの依存関係に関するリスクを再確認しました。「外部パッケージを導入するたびに、依存関係の深い部分に投毒された爆弾を仕掛けてしまう可能性がある」と彼は述べました。彼は今後、単純な機能コードを大規模言語モデルに直接生成させるようにし、第三者ライブラリに依存しないことを望んでいると語っています。
緊急のセキュリティ提案
AIbaseはすべてのAI開発者に以下のように注意喚起しています:
- 即座にpip show litellmを実行し、バージョンを確認してください。最後の安全なバージョンは1.82.6です。
- 1.82.7または1.82.8が見つかった場合は、すべての資格情報が漏洩しているとみなす必要があります。そのため、SSHキー、クラウド資格情報、K8sトークンなどすべてを即座に交換してください。
- 影響を受けた環境をクリーンアップし、コンテナまたは仮想マシンを再構築し、サプライチェーンの監査を強化してください。