硅谷两部最大的戏剧交叉：LiteLLM和Delve

这是硅谷现实生活中的一集，似乎是从HBO讽刺节目中摘录的。本周，在Y CombinatorgraduateLiteLLM开发的开源项目中发现了一些非常严重的恶意软件。

LiteLLM让开发人员可以轻松访问数百个AI模型，并提供支出管理等功能。据监控该事件的众多安全研究人员之一Snyk称，这是一次突破性的点击，每天的下载量高达340万次。该项目在GitHub上有4万颗星，还有数千个分支（那些以它为基础进行修改并使其成为自己的项目的人）。

该恶意软件是由FutureSearch的研究科学家Callum McMahon发现、记录和披露的，FutureSearch是一家为网络研究提供人工智能代理的公司。该恶意软件通过“依赖项”渗透进来，即LiteLLM依赖的其他开源软件。然后它窃取了它所接触的所有内容的登录凭据。通过这些凭据，恶意软件可以访问更多开源包和帐户，以获取更多凭据，等等。

下载LiteLLM后，该恶意软件导致McMahon的计算机关闭。那件事促使他去调查并发现它。讽刺的是，恶意软件中的一个错误导致他的机器崩溃了。因为那段令人讨厌的代码设计得非常草率，所以他（以及著名的人工智能研究员安德烈·卡帕蒂）得出结论，它一定是通过振动编码的。

LiteLLM开发人员本周一直在不停地工作以纠正这种情况，好消息是它被发现的速度相对较快，可能在几个小时内。

这个传奇故事的另一部分让X上的人们无法停止谈论。截至3月25日我们查看时，LiteLLM仍然自豪地在其网站上展示其已通过SOC2和ISO 27001两大安全合规认证。

但它使用了一家名为Delve的初创公司来进行这些认证。