この記事ではセキュリティに特化して解説します。AIセキュリティ全般は サプライチェーンセキュリティ完全ガイド2026|攻撃手法・防御ツール・実践チェックリスト をご覧ください。
何が起きたか
BerriAIが開発するLLMプロキシライブラリ「LiteLLM」のバージョン1.82.7と1.82.8がPyPI上で侵害された。2026年3月24日にGitHubのissue #24512で報告され、2段階の認証情報窃取メカニズムが組み込まれていることが判明した。侵害されたバージョンをインストールした環境では、APIキー、SSH鍵、クラウド認証情報(AWS・GCP・Azure)、Kubernetesシークレット、暗号通貨ウォレット、シェル履歴、CI/CDシークレットが窃取された可能性がある。
攻撃の技術的詳細
悪意あるペイロードは2段階で動作する。
| 段階 | 動作 | 手法 |
|---|---|---|
| 第1段階(データ収集) | .pthファイルがPython起動時に自動実行 |
システム情報、環境変数、SSH鍵、クラウド認証情報、Docker設定、シェル履歴を収集 |
| 第2段階(データ流出) | 収集データを暗号化して外部送信 | AES-256で暗号化、埋め込み4096ビットRSA公開鍵で保護、https://models.litellm.cloud/に送信 |
送信先ドメインmodels.litellm.cloudは公式のlitellm.aiを模した偽装ドメインである。.pthファイルはPythonのsite-packages/にlitellm_init.pthとして配置され、Pythonプロセスが起動するたびに自動実行される点が特に危険だ。
初動対応の問題
報告後の初動対応にも問題があった。issue #24512は報告から約1時間後に「not_planned」として不適切にクローズされた。コミュニティからの指摘でメンテナーが160以上のコミットを急速に作成した行動が、アカウント侵害の可能性を示唆するものとして疑問視された。最終的にissueは再オープンされ、調査が進行中。
エンジニアへの影響
- 即時確認が必須:
pip show litellmでバージョンを確認し、1.82.7または1.82.8であれば即座にアップデート。site-packages/内のlitellm_init.pthの存在も確認が必要 - 認証情報の全ローテーション: 該当バージョンがインストールされていた環境のAPIキー、SSH鍵、クラウド認証情報、CI/CDトークンの全てをローテーションする
- 本番環境の優先対応: 本番サーバーで該当バージョンが動作していた場合、環境変数経由で露出した全ての機密情報が窃取済みと仮定して対応する
- 供給チェーン監視の導入: pip-auditやSocket等のツールで依存パッケージの侵害を自動検知する体制を構築する
- バージョン固定の落とし穴: requirements.txtで侵害バージョンを固定していた場合、自動更新が行われず脆弱性が長期間残存する
代替手段の比較
| ライブラリ | 用途 | パッケージ管理 | 今回の影響 |
|---|---|---|---|
| LiteLLM | マルチLLMプロキシ | PyPI(侵害対象) | 直接被害 |
| LangChain | エージェントフレームワーク | PyPI(別管理) | なし |
| OpenAI Python SDK | OpenAI公式クライアント | PyPI(自社管理) | なし |
試してみるには
pip show litellmでバージョンを確認し、該当バージョンであればpip install --upgrade litellmで即座にアップデートする。find / -name "litellm_init.pth" 2>/dev/nullで悪意ある.pthファイルの残存も確認する。GitHubのissue #24512で最新の対応状況を追跡できる。
関連記事: サプライチェーンセキュリティ完全ガイド2026|攻撃手法・防御ツール・実践チェックリスト
参考リンク
LiteLLMの代替としてマルチLLM統合にLangChainやDifyも検討できます。
この記事はAI業界の最新動向を速報でお届けする「AI Heartland ニュース」です。
