วงการพัฒนา AI เกิดเหตุการณ์ด้านความปลอดภัยครั้งสำคัญเมื่อวันที่ 24 มีนาคม โดยแพ็กเกจ Python LiteLLM ซึ่งใช้กันอย่างแพร่หลายในการเชื่อมต่อกับ LLM ต่างๆ เวอร์ชัน 1.82.8 ถูกฝังมัลแวร์ไว้ในตัว เพียงแค่รันคำสั่ง

pip install litellm

ก็อาจทำให้ข้อมูลสำคัญ เช่น คีย์ SSH, ใบรับรอง AWS/GCP/Azure, การตั้งค่า Kubernetes, การรับรอง Git, ตัวแปรสิ่งแวดล้อม (รวม API keys ทั้งหมด), ประวัติ Shell, กระเป๋าเงินคริปโต, คีย์ SSL, ความลับ CI/CD, รหัสผ่านฐานข้อมูล ฯลฯ รั่วไหลออกไปยังเซิร์ฟเวอร์ระยะไกลในครั้งเดียว

ขอบเขตการแพร่กระจาย: โครงการใดก็ตามที่พึ่งพา LiteLLM ก็ได้รับผลกระทบ

LiteLLM มีจำนวนการดาวน์โหลดต่อเดือนสูงถึง 97 ล้านครั้ง ซึ่งมีขนาดค่อนข้างใหญ่อยู่แล้ว ยิ่งไปกว่านั้น การโจมตีแบบซัพพลายเชนทำให้ความเสียหายขยายวงกว้างเกินกว่าผู้ใช้งานโดยตรง — แพ็กเกจใดก็ตามที่พึ่งพา LiteLLM ก็อาจได้รับผลกระทบ เช่น

pip install dspy

(ขึ้นอยู่กับ litellm>=1.64.0) ก็ถูกโจมตีเช่นกัน โครงการขนาดใหญ่อื่นๆ ก็เช่นกัน

จากการวิเคราะห์ของ Andrej Karpathy บน X เวลาที่เวอร์ชันมัลแวร์ถูกปล่อยออกมานั้นใช้เวลาน้อยกว่า 1 ชั่วโมง และการตรวจพบก็เป็นเรื่องบังเอิญ: นักพัฒนา Callum McMahon ใช้ปลั๊กอิน MCP ใน Cursor ซึ่งนำ LiteLLM เข้ามาเป็น dependency ทางอ้อม (transitive dependency) เมื่อรันเวอร์ชัน 1.82.8 คอมพิวเตอร์ก็เกิดอาการหน่วยความจำเต็มและค้าง หากไม่ใช่โค้ดของผู้โจมตีที่มีบั๊ก การโจมตีครั้งนี้อาจดำเนินไปหลายสัปดาห์โดยไม่มีใครรู้ตัว

บัญชีผู้ดูแล LiteLLM ถูกแฮ็ก เป็นส่วนหนึ่งของการโจมตีในวงกว้าง

นักวิจัยด้านความปลอดภัยชี้ว่า บัญชี GitHub และ PyPI ของ LiteLLM ถูกแฮ็ก และเหตุการณ์นี้ไม่ใช่เหตุการณ์เดียวกัน — การโจมตีในชื่อกลุ่ม TeamPCP ได้ดำเนินการโจมตีในวงกว้างกับส่วนขยาย VSCode และ Cursor พร้อมกัน ฝังมัลแวร์ ZOMBI ซึ่งเป็น Trojan สำหรับการเข้าถึงระยะไกล และติดตั้ง VNC ซ่อนอยู่ รวมถึง SOCKS proxy คาดว่าขโมยข้อมูลใบรับรองมากกว่า 500,000 ชุด และส่งผลกระทบต่อบริษัทชั้นนำหลายแห่ง

แนวทางรับมือทันที: ตรวจสอบเวอร์ชันและลดเวอร์ชัน

เวอร์ชันที่ได้รับผลกระทบคือ 1.82.8 หากระบบของคุณติดตั้งเวอร์ชันนี้ ควรถือว่าข้อมูลรับรองทั้งหมดถูกรั่วไหล ให้เปลี่ยนรหัสผ่านทันที

ตรวจสอบเวอร์ชัน pip show litellm # ลดเวอร์ชันเป็นเวอร์ชันปลอดภัย pip install litellm==1.82.7

Karpathy: ถึงเวลาทบทวนวัฒนธรรมการพึ่งพา

Karpathy ใช้เหตุการณ์นี้เป็นโอกาสในการสะท้อนลึกซึ้ง: วิศวกรรมซอฟต์แวร์แบบดั้งเดิมมองว่าชุด dependency เป็นเครื่องมือที่มีประสิทธิภาพในการสร้าง “พีระมิดด้วยอิฐ” แต่การโจมตีซัพพลายเชนทำให้สมมุติฐานนี้กลายเป็นอันตรายมากขึ้น เขาแนะนำให้ใช้ LLM “ดึงข้อมูล” (yoink) ฟังก์ชันที่ต้องการโดยตรง แทนที่จะนำเข้าแพ็กเกจภายนอกทั้งชุด — โดยเฉพาะเมื่อฟังก์ชันนั้นเรียบง่ายและสามารถทำได้

เหตุการณ์นี้ยังทำให้วงการพัฒนาตระหนักว่า เมื่อ AI ทำงานอัตโนมัติผ่านคำสั่ง

pip install

ในสถานการณ์ที่แพร่หลายมากขึ้น การตรวจสอบโดยมนุษย์กำลังหายไปอย่างรวดเร็ว ระบบไฟร์วอลล์ระดับแพ็กเกจได้กลายเป็นสิ่งจำเป็นพื้นฐาน แทนที่จะเป็นเพียงสิ่งเสริม

บทความนี้ “LiteLLM PyPI Supply Chain Attack: แพ็กเกจ AI ที่มีการดาวน์โหลด 97 ล้านครั้งต่อเดือน ถูกฝังมัลแวร์ ข้อมูลรับรอง SSH และ API รั่วไหล” ปรากฏเป็นครั้งแรกใน Chain News ABMedia