Penjelasan teknis
Mengikuti serangan rantai pasokan PyPI Maret 2026 pada liteLLM, pengelola mengungkapkan dua masalah dengan tingkat keparahan tinggi (keduanya memerlukan kunci API proxy yang valid) dan merilis v1.83.0 dengan pipeline CI/CD v2 yang diperkuat, lingkungan build terisolasi, dan gating rilis yang lebih ketat.
Vektor serangan
Rantai pasokan melalui paket PyPI yang ditroyani (Maret); kerentanan proxy yang diautentikasi (pengungkapan saat ini).
Sistem yang terdampak
Pengguna LiteLLM yang memasang versi yang dikompromikan antara ~1-15 Maret 2026; masalah saat ini memerlukan kunci API proxy yang valid.
Mitigasi
Periksa litellm_init.pth sebagai indikator kompromi; rotasi rahasia yang berpotensi terekspos; tingkatkan ke v1.83.0+; tambahkan verifikasi dependensi dan kontrol akses CI/CD.