Delve 是否對 LiteLLM 進行了安全合規檢測?
事件背景
LiteLLM 是一個廣泛使用的開源 AI 工具,其 Python 包在 2026 年 3 月遭入侵,導致多個版本的包被植入竊取憑證的惡意軟體。
惡意軟體來源與影響
攻擊者透過汙染的 CI/CD 管道,將惡意程式碼注入 LiteLLM 的 PyPI 套件中。其中,版本 litellm==1.82 被確認為受影響,惡意程式碼會在執行時竊取使用者的登入憑證與金鑰。
Delve 的角色與澄清
根據 Delve 官方聲明,Delve 並未對 LiteLLM 進行安全合規審計,也未發行虛假的 SOC 2 合規報告。相關誤傳內容來自 Substack 平臺的不準確報導。
後續建議
- 使用者應避免更新受影響的 LiteLLM 版本(如 1.82.7 和 1.82.8)。
- 建議檢查系統中是否使用了受汙染的依賴套件,並進行反向工程與惡意軟體分析。
- 開發者應加強對 CI/CD 管道中安全掃描工具的驗證,避免使用可能被汙染的第三方工具。
相關連結
https://docs.litellm.ai/blog/security-update-march-2026
https://delve.co/blog/response-to-misleading-claims
https://www.theregister.com/2026/03/24/trivy_compromise_litellm/
https://x.com/FracSlap/status/2036832733318598659
https://snyk.io/articles/poisoned-security-scanner-backdooring-litellm/
https://www.lunar.dev/post/litellm-was-compromised-here-is-what-you-need-to-know
https://news.ycombinator.com/item?id=47501729
https://dev.to/tejakummarikuntla/litellm-supply-chain-attack-deep-dive-3h7m