AI開発者コミュニティが大混乱に陥り、有名なAI科学者であるAndréj Karpathy氏が直接投稿し「警報」を発し、AIサプライチェーンを狙った正確な汚染攻撃を暴露した。被害を受けたのはGitHubで4万以上のスターを獲得し、月間ダウンロード数が1億回近くに達するPythonライブラリ「litellm」である。このライブラリは各大モデルAPIを呼び出す「万能の鍵」であり、今回の出来事の影響力はドミノ倒しのように全体のAIツールチェーンへと広がっている。

image.png

インストールすると即ハメられる:悪意コードの「隠蔽性」による浸透

今回の攻撃の恐ろしいところはその起動メカニズムにある。攻撃者はlitellmのPyPIバージョン(1.82.7および1.82.8)に悪意のある.pthファイルを埋め込んだ。

  • 呼び出し不要、即時実行: あなたがpip installでこれらのバージョンをインストールしただけで、悪意コードはPythonプロセスが起動するたびに自動的に実行される。あなたがインストールしただけなのに1行もコードを書かなかったとしても、あなたのシステムはハッカーに完全に開かれている。

  • 全範囲からの情報収集: 悪意コードはホスト上の機密資産を暴くように猛働きし、SSHキー、AWS/GCPクラウド資格情報、Kubernetesキー、暗号通貨ウォレット、そしてすべての環境変数(つまりあなたのさまざまな大規模モデルAPIキー)を収集し、攻撃者のサーバーに暗号化して送信する。

劇的な逆転:攻撃者が自分の「バグ」で暴露された

本来であれば何週間も潜伏する完璧な犯罪だったが、ハッカーの小さなミスによって暴露されてしまった。ある開発者がCursorエディタでプラグインを使用している際に、マシンのメモリが一瞬でいっぱいになった。

実は、悪意コードが起動時に指数関数的なプロセス分岐(Fork Bomb)を引き起こしたためだった。このシステムをクラッシュさせるバグのおかげで、セキュリティ研究者は汚染行為を追跡することができた。Karpathyは、「もしハッカーのコードがもっと上手かったら、この大規模な略奪は今もまだ誰にも気づかれないままだったかもしれない」と述べた。

連鎖反応:セキュリティツールが「凶器」になる

調査の結果、この攻撃は一連のサプライチェーンの崩壊から始まったことが分かった。攻撃チームであるTeamPCPはまず、脆弱性スキャンツールTrivyを攻撃し、litellmの公開トークンを盗み取った。その後、コードレビューを回避してPyPIに悪意のあるパッケージをアップロードした。

現在、DSPy、MLflow、Open Interpreterなど2000以上の一般的なAIツールが間接的にこのライブラリに依存している。セキュリティ専門家は、すぐにpip show litellm