さまざまなAIモデルを統一インターフェースで接続する人気ツール「LiteLLM」の脆弱性を突いた攻撃が発生し、開発者コミュニティに衝撃が走った。エンジニアのダニエル・フニク(Daniel Hnyk)がBigQueryのデータを用いて調査したところ、侵害された2つのバージョン（1.82.7および1.82.8）は、Python Package Index（PyPI）上にわずか46分間しか公開されていなかったことが判明した。しかし、これほど短い時間であったにもかかわらず、悪意あるコードは46,996回もダウンロードされており、サプライチェーン攻撃がいかに驚異的な速さで拡散するかを物語っている。

この脆弱性の影響は、ライブラリ自体の直接的なダウンロードにとどまらない。LiteLLMを依存関係としてリストアップしている2,337のソフトウェアパッケージのうち、実に88%がバージョン固定を行っていなかったのである。バージョン固定とは、プロジェクトを検証済みの特定バージョンにロックすることで、未検証の新しいアップデートが自動的に適用されるのを防ぐ手法だ。これらのプロジェクトには厳格な制約がなかったため、攻撃時間中にビルドやデプロイがトリガーされた際、無防備に悪意あるコードを取り込んでしまうリスクにさらされていた。

本件は、現在のAIブームを支えるインフラの脆弱性を突きつける結果となった。開発者が大規模言語モデル（LLM）の統合を急ぐあまり、基盤となる「パイプ」のセキュリティが、機能開発のスピードに後回しにされるケースは少なくない。AIの安全性とは、単にモデルがどう振る舞うかだけでなく、モデルの出力をエンドユーザーに届けるコード自体の整合性にもかかっていることを、本事例は改めて示している。

さまざまなAIモデルを統一インターフェースで接続する人気ツール「LiteLLM」の脆弱性を突いた攻撃が発生し、開発者コミュニティに衝撃が走った。エンジニアのダニエル・フニク(Daniel Hnyk)がBigQueryのデータを用いて調査したところ、侵害された2つのバージョン（1.82.7および1.82.8）は、Python Package Index（PyPI）上にわずか46分間しか公開されていなかったことが判明した。しかし、これほど短い時間であったにもかかわらず、悪意あるコードは46,996回もダウンロードされており、サプライチェーン攻撃がいかに驚異的な速さで拡散するかを物語っている。

この脆弱性の影響は、ライブラリ自体の直接的なダウンロードにとどまらない。LiteLLMを依存関係としてリストアップしている2,337のソフトウェアパッケージのうち、実に88%がバージョン固定を行っていなかったのである。バージョン固定とは、プロジェクトを検証済みの特定バージョンにロックすることで、未検証の新しいアップデートが自動的に適用されるのを防ぐ手法だ。これらのプロジェクトには厳格な制約がなかったため、攻撃時間中にビルドやデプロイがトリガーされた際、無防備に悪意あるコードを取り込んでしまうリスクにさらされていた。

本件は、現在のAIブームを支えるインフラの脆弱性を突きつける結果となった。開発者が大規模言語モデル（LLM）の統合を急ぐあまり、基盤となる「パイプ」のセキュリティが、機能開発のスピードに後回しにされるケースは少なくない。AIの安全性とは、単にモデルがどう振る舞うかだけでなく、モデルの出力をエンドユーザーに届けるコード自体の整合性にもかかっていることを、本事例は改めて示している。