სილიკონ ველის ორი უდიდესი დრამა ერთმანეთს გადაეკვეთა: LiteLLM და Delve

ეს არის სილიკონ ველის ერთ-ერთი იმ რეალურ ისტორიათაგანი, რომელიც HBO-ს სატირულ სერიალს მოგვაგონებს. ამ კვირაში, Y Combinator-ის კურსდამთავრებული პროექტის, LiteLLM-ის ღია კოდში საშიში მავნე პროგრამა აღმოაჩინეს. LiteLLM დეველოპერებს ასობით AI მოდელზე მარტივ წვდომასა და ხარჯების მართვის ფუნქციებს სთავაზობს. პროექტი განსაკუთრებული პოპულარობით სარგებლობს — უსაფრთხოების მკვლევარი კომპანია Snyk-ის მონაცემებით, მას დღეში 3.4 მილიონჯერ ტვირთავენ. GitHub-ზე მას 40 000-ზე მეტი ვარსკვლავი და ათასობით „ფორკი“ (fork) აქვს, რაც იმას ნიშნავს, რომ უამრავი მომხმარებელი მას საკუთარი ვერსიების შესაქმნელად იყენებს.მავნე პროგრამა FutureSearch-ის მკვლევარმა, კალუმ მაკმაჰონმა აღმოაჩინა და დოკუმენტურად დაადასტურა. ვირუსი სისტემაში ე.წ. „დამოკიდებულების“ (dependency) საშუალებით შეაღწია — ეს არის სხვა ღია კოდის პროგრამული უზრუნველყოფა, რომელსაც LiteLLM ეყრდნობოდა. პროგრამა იპარავდა ყველა იმ სისტემის შესასვლელ მონაცემებს (credentials), რომლებსაც კი ეხებოდა. ამ მონაცემების გამოყენებით, მავნე კოდი სხვა პაკეტებსა და ანგარიშებზე წვდომას მოიპოვებდა, რათა კიდევ უფრო მეტი ინფორმაცია მოეგროვებინა.ინციდენტი მას შემდეგ გახდა ცნობილი, რაც LiteLLM-ის ჩამოტვირთვისას მაკმაჰონის კომპიუტერი გაითიშა. ირონიულია, რომ სწორედ მავნე პროგრამაში არსებულმა ხარვეზმა გამოიწვია სისტემის გათიშვა, რამაც მკვლევარს გამოძიებისკენ უბიძგა. კოდის უხარისხო დიზაინის გამო, მაკმაჰონმა და ცნობილმა AI მკვლევარმა, ანდრეი კარპატიმ დაასკვნეს, რომ ის, სავარაუდოდ, „ვაიბით იყო დაწერილი“ (vibe coded).LiteLLM-ის დეველოპერები მთელი კვირის განმავლობაში მუშაობდნენ პრობლემის გამოსასწორებლად. კარგი ამბავი ის არის, რომ საფრთხე საკმაოდ სწრაფად, სავარაუდოდ რამდენიმე საათში იქნა აღმოჩენილი. თუმცა, ამ ისტორიას კიდევ ერთი მხარე აქვს, რომელზეც სოციალურ ქსელ X-ში აქტიურად მსჯელობენ.25 მარტის მონაცემებით, LiteLLM-ის ვებგვერდზე კვლავ მითითებულია, რომ პროექტმა გაიარა უსაფრთხოების ორი ძირითადი სერტიფიცირება: SOC2 და ISO 27001. ამ სერტიფიკატების მისაღებად მათ სტარტაპ Delve-ის მომსახურებით ისარგებლეს. Delve ასევე Y Combinator-ის მიერ მხარდაჭერილი კომპანიაა, რომელსაც ბრალად ედება მომხმარებლების შეცდომაში შეყვანა, ყალბი მონაცემების გენერირება და აუდიტორების გამოყენება, რომლებიც ანგარიშებს რეალური შემოწმების გარეშე, ფორმალურად ადასტურებენ. Delve აღნიშნულ ბრალდებებს უარყოფს.

აქ მნიშვნელოვანია ერთი ნიუანსის გათვალისწინება: მსგავსი სერტიფიკატები გამიზნულია იმის საჩვენებლად, რომ კომპანიას აქვს უსაფრთხოების მყარი პოლიტიკა მსგავსი ინციდენტების რისკის შესამცირებლად. სერტიფიცირება ავტომატურად არ ნიშნავს, რომ კომპანია დაცულია მავნე პროგრამებისგან. მიუხედავად იმისა, რომ SOC 2 უნდა ფარავდეს პროგრამულ დამოკიდებულებებთან დაკავშირებულ პოლიტიკას, ვირუსმა მაინც შეიძლება შეაღწიოს სისტემაში. მიუხედავად ამისა, როგორც ინჟინერმა გერგელი ოროსმა X-ზე აღნიშნა, ბევრისთვის ეს ირონიული აღმოჩნდა: „მეგონა, ეს ხუმრობა იყო... მაგრამ არა, LiteLLM მართლაც Delve-ის მიერ იყო 'დაცული'“.LiteLLM-ის აღმასრულებელმა დირექტორმა, კრიშ დოლაკიამ, Delve-ის გამოყენებასთან დაკავშირებით კომენტარი არ გააკეთა. ის ამჟამად კიბერშეტევის შედეგების აღმოფხვრით არის დაკავებული. „ჩვენი პრიორიტეტია აქტიური გამოძიება Mandiant-თან ერთად. მზად ვართ, ტექნიკური ექსპერტიზის დასრულების შემდეგ, მიღებული გამოცდილება დეველოპერების საზოგადოებას გავუზიაროთ“, — განუცხადა მან TechCrunch-ს.