技術的な説明
2026年3月のliteLLMに対するPyPIサプライチェーン攻撃に続き、メンテナーは2つの高リスク問題を開示し(両方とも有効なプロキシAPIキーが必要)、強化されたCI/CD v2パイプライン、分離されたビルド環境、およびより厳格なリリースゲートを備えたv1.83.0をリリースしました。
攻撃経路
トロイの木馬化されたPyPIパッケージ経由のサプライチェーン(3月)。認証済みプロキシの脆弱性(現在の開示)。
影響を受けるシステム
2026年3月1日~15日頃に侵害されたバージョンをインストールしたLiteLLMユーザー。現在の問題は有効なプロキシAPIキーが必要です。
緩和策
litellm_init.pthの侵害インジケーターを確認。潜在的に露出したシークレットをローテーション。v1.83.0以降にアップグレード。依存関係の検証とCI/CDアクセス制御を追加。