Delve hoàn tất kiểm tra tuân thủ an ninh cho LiteLLM, dự án AI gặp sự cố phần mềm độc hại

Dự án AI phổ biến LiteLLM bị tấn công bởi phần mềm độc hại xâm nhập thông qua phần phụ thuộc phần mềm, đánh cắp thông tin đăng nhập từ người dùng. Phát hiện bởi nhà khoa học Callum McMahon, phần mềm độc hại gây ra vấn đề vận hành trên các máy bị ảnh hưởng. Mặc dù có chứng nhận an ninh từ Delve, lo ngại nảy sinh về độ phù hợp của các tiêu chuẩn này, khi phần mềm độc hại có thể vượt qua các biện pháp bảo mật hiện có.

Key Points

• LiteLLM là một dự án trí tuệ nhân tạo mã nguồn mở được phát triển bởi một cựu sinh viên của Y Combinator với 3,4 triệu lượt tải hàng ngày.
• Phần mềm độc hại được Callum McMahon phát hiện xâm nhập qua các phần phụ thuộc và đánh cắp thông tin đăng nhập người dùng.
• Việc lập trình kém chất lượng của phần mềm độc hại này đã gây ra các vấn đề vận hành ngay lập tức trên các máy bị ảnh hưởng.
• LiteLLM đã đạt được chứng nhận tuân thủ bảo mật (SOC2, ISO27001) từ công ty Delve, hiện đang dưới sự xem xét về hiệu quả.
• Các nhà phát triển của LiteLLM đang tích cực làm việc để khắc phục tình hình này thông qua sự hợp tác với công ty bảo mật Mandiant.

Relevance

• Sự cố này làm nổi bật những thách thức bảo mật liên tục của phần mềm mã nguồn mở, đặc biệt là trong các dự án Trí tuệ nhân tạo nơi các phụ thuộc rất quyết định.
• Việc xem xét các chứng chỉ tuân thủ của Delve phản ánh mối quan ngại rộng lớn vào năm 2025 về sự đáng tin cậy của xác thực bảo mật được outsourced và các lỗ hổng tiềm ẩn trong quy trình chứng nhận.

Sự cố phần mềm độc hại LiteLLM nhấn mạnh sự cần thiết của các phương pháp bảo mật mạnh mẽ trong quá trình phát triển phần mềm, đặc biệt là đối với các dự án mã nguồn mở phổ biến, vì những hệ thống tuân thủ cũng có thể bị dễ bị tấn công bởi các mối đe dọa tinh vi.