Взломали LiteLLM

Взломали LiteLLM

LiteLLM — популярный open source шлюз для подключения LLM от разных поставщиков.

Последняя версия LiteLLM отправляет кому-то все учётные данные пользователя. Улетают SSH-ключи, данные от AWS/Google Cloude/Azure, криптокошельки, API-ключи и т.д.

https://futuresearch.ai/blog/litellm-pypi-supply-chain-attack/

P.S.: в блогах и СМИ все добавляют, что у LiteLLM 97 миллионов загрузок в месяц. Это формальная техническая правда, но реально — ерунда, и народ пишет либо от собственного непонимания, либо с желанием ввести в непонимание аудиторию. Тот счетчик, который эти 97 миллионов считает, обновляется на каждый чих. Реальных установок продукта скорее сотни тысяч за всю историю, чем миллионы. На Github у него 40 тысяч звезд — это адекватный показатель, но не такой кликбейтный, конечно.