기술 설명
2026년 3월 PyPI에서의 liteLLM 공급망 공격 이후, 유지보수자들은 두 가지 높은 심각도 문제(둘 다 유효한 프록시 API 키 필요)를 공개했으며, 강화된 CI/CD v2 파이프라인, 격리된 빌드 환경, 더 엄격한 릴리스 게이팅이 포함된 v1.83.0을 출시했습니다.
공격 경로
트로이목마 PyPI 패키지를 통한 공급망 공격(3월); 인증된 프록시 결함(현재 공개).
영향받는 시스템
2026년 3월 1-15일 사이에 손상된 버전을 설치한 LiteLLM 사용자; 현재 문제는 유효한 프록시 API 키가 필요합니다.
완화 방안
litellm_init.pth 손상 지표 확인; 잠재적으로 노출된 시크릿 순환; v1.83.0+로 업그레이드; 종속성 검증 및 CI/CD 접근 제어 추가.