技術的な説明
2026年3月のPyPIサプライチェーン攻撃に続くliteLLMの開示により、メンテナーは2つの高リスク問題(いずれも有効なプロキシAPIキーが必要)を公開し、強化されたCI/CD v2パイプライン、分離されたビルド環境、および厳密なリリースゲーティングを備えたv1.83.0をリリースしました。
攻撃経路
トロイの木馬化されたPyPIパッケージ経由のサプライチェーン(3月); 認証済みプロキシの脆弱性(現在の開示)。
影響を受けるシステム
2026年3月1日~15日頃に侵害されたバージョンをインストールしたLiteLLMユーザー; 現在の問題は有効なプロキシAPIキーが必要です。
緩和策
litellm_init.pthで侵害の兆候を確認; 潜在的に公開されたシークレットをローテーション; v1.83.0以上にアップグレード; 依存関係検証とCI/CDアクセス制御を追加します。