litellm ที่มีดาวน์โหลด 97 ล้านครั้งต่อเดือนถูกโจมตีซัพพลายเชน การติดตั้งง่ายๆ ก็สามารถขโมยคีย์ SSH และข้อมูลรับรองความลับทั้งหมดได้

Odaily Andrej Karpathy โพสต์บนแพลตฟอร์ม X ว่า litellm ถูกโจมตีซัพพลายเชน PyPI เพียงแค่รัน pip install litellm ก็สามารถขโมยคีย์ SSH, ข้อมูลรับรอง AWS/GCP/Azure, การกำหนดค่า Kubernetes, ข้อมูลรับรอง git, ตัวแปรสภาพแวดล้อม, วอลเล็ตเข้ารหัส, คีย์ส่วนตัว SSL, คีย์ CI/CD และรหัสผ่านฐานข้อมูลได้ litellm มีดาวน์โหลด 97 ล้านครั้งต่อเดือน และความเสี่ยงจะแพร่กระจายไปยังโปรเจกต์ทั้งหมดที่พึ่งพา litellm เช่น dspy เวอร์ชันที่มีโค้ดมัลแวร์ฝังอยู่ถูกอัปโหลดไม่ถึง 1 ชั่วโมง เนื่องจากโค้ดโจมตีมีข้อบกพร่องทำให้เครื่องของ Callum McMahon หน่วยความจำหมดและขัดข้อง จึงถูกค้นพบ Andrej Karpathy กล่าวว่าการโจมตีซัพพลายเชนเป็นปัญหาที่คุกคามมากที่สุดในซอฟต์แวร์สมัยใหม่ ทุกครั้งที่ติดตั้ง dependencies อาจนำแพ็กเกจที่ถูกแก้ไขเข้ามาในส่วนลึกของ dependency tree เขาจึงมีแนวโน้มที่จะลดการพึ่งพาและหันมาใช้ LLM เพื่อใช้งานฟังก์ชันง่ายๆ โดยตรงมากขึ้น