실리콘밸리 두 대형 드라마, LiteLLM과 Delve가 교차하다

인기 있는 오픈 소스 AI 모델 플랫폼인 LiteLLM이 의존성을 통해 로그인 자격 증명을 도난당한 악성 코드의 피해를 입었습니다. 이 악성 코드는 LiteLLM을 다운로드한 후 머신을 다운시킨 Callum McMahon에 의해 발견되었습니다. 해당 회사는 보안 인증을 위해 Delve를 사용하는데, Delve는 규정 준수에 대한 주장된 그릇된 관행으로 지목되어 이 사건에 대한 공개적인 관심을 증폭시켰습니다.

Key Points

• LiteLLM은 하루 평균 340만 회 다운로드되는 널리 사용되는 오픈 소스 프로젝트입니다.
• 악성 코드가 외부 종속성을 통해 도입되어 사용자 자격 증명이 위험에 노출되었습니다.
• 캘럼 맥마헌은 시스템이 다운되고 나서야 악성 코드를 발견하고 조사를 촉구했습니다.
• LiteLLM 개발자들은 문제를 신속히 해결하기 위해 빠른 대응을 보였으며 수 시간 이내에 문제를 해결했습니다.
• LiteLLM에 보안 인증을 제공하는 Delve 회사는 거짓 준수 보고서 작성 혐의를 받고 있습니다.
• 인증을 받았지만 악성 코드가 소프트웨어에 침투할 수 있어 보안상의 취약점을 강조하고 있습니다.

Relevance

• 오픈 소스 소프트웨어의 사이버 보안에 대한 우려가 커지고 있음을 보여준 사건입니다.
• 소프트웨어의 준수 및 보안을 보장하는 것은 기술 산업에서 계속되는 문제를 강조합니다.
• AI 애플리케이션의 증가로 강력한 사이버 보안 조치가 필요해지며, 2025년 IT 트렌드에서 보안 및 규제 준수가 우선 순위로 높아지고 있습니다.

오픈 소스 소프트웨어의 취약성을 염두에 두어야 하는 LiteLLM 악성 코드 사건은 인공 지능 혁신이 주도하는 기술 환경에서 효과적인 보안 관행이 절실하다는 점을 강조한다.