何が起きたか
LLM(大規模言語モデル)へのAPIアクセスを一元管理するプロキシサービス「LiteLLM」が、供給チェーン攻撃により侵害された。セキュリティ研究者が2026年3月24日に発見・報告し、PyPI上に直接アップロードされた悪意あるバージョン(v1.82.8)の隔離が実現。攻撃からの対応完了までのプロセスが公開されている。
どう動くのか
LiteLLMは、複数のLLMプロバイダ(OpenAI、Anthropic、Googleなど)へのリクエストを統一インターフェースで処理するラッパー。攻撃者はPyPI上に直接、悪意あるコードを含むパッケージバージョンをアップロード。GitHubリポジトリ側には対応するタグが存在せず、PyPIパッケージの直接投与による供給チェーン攻撃として機能した。影響を受けたバージョンを依存関係として使用するプロジェクトは、知らぬ間に攻撃者が制御するコードを実行する状況に陥った。
エンジニアへの影響
- 即座の対応が不可避:LiteLLMを依存関係に含むプロジェクトは緊急更新の判断を迫られる
- サプライチェーンの脆弱性露呈:一度の侵害で多数のサービスが連鎖影響を受ける構造的リスク
- API認証情報の危機:LiteLLMを経由するOpenAIやAnthropic APIキーが漏洩リスク
- 監視体制の強化:依存パッケージの更新状況を継続的に監視する必要性が高まる
- 本番環境の検証遅延:急速なパッチ適用と安定性確保のジレンマ
対応方法
Future Search社のブログに発見から対応までのプロセスが記載されている。影響度診断は以下で可能:使用LiteLLMのバージョン確認→package-lock.jsonの該当バージョン確認→セキュアなバージョンへの更新実施。
参考リンク
この記事はAI業界の最新動向を速報でお届けする「AI Heartland ニュース」です。
よくある質問
Q. LiteLLMのマルウェア攻撃はどの範囲まで広がった
LiteLLMをプロキシとして使用する全プロジェクトが対象。OpenAI、Anthropic、GoogleなどのAPIキーを管理していたため、複数サービスのAPI認証情報が危険にさらされた
Q. 供給チェーン攻撃とは何か
メインのターゲットではなく、広く使われるライブラリやツールを侵害し、それらに依存する無数のプロジェクトに波及させる攻撃手法。一度の侵害で複数企業に影響
Q. 今すぐ実施すべき対応は
使用LiteLLMのバージョンを確認→package-lock.jsonで該当バージョンを特定→セキュアなバージョンへの更新を実施。詳細なプロセスはFuture Search社のブログに記載されている。
Q. LiteLLMの依存関係を調査するには
package.json(Node.js)やrequirements.txt(Python)を確認し、LiteLLMの直接・間接依存をリスト化。npm auditやpip-auditツールで脆弱性スキャン
Q. こうした攻撃を事前に防ぐ方法は
依存パッケージの更新状況を継続的に監視することが重要。LiteLLMのような広く使われるライブラリへのセキュリティ脅威に対して、常に警戒態勢を整える必要がある。