1行のpip installですべての秘密鍵を盗む：Karpathyがlitellmへの投毒を「ソフトウェア業界で最も恐ろしいこと」と称する

2023年10月時点の情報によると、OpenAIの創設メンバーであるAndrej Karpathyは、AIエージェント開発ツールLiteLLMに対するサプライチェーン攻撃について、「現代のソフトウェアで最も恐ろしい事の一つ」と投稿しました。LiteLLMは月間9700万回のダウンロードがあり、バージョン1.82.7と1.82.8の感染したバージョンはPyPIから削除されています。

ただのpip install litellmだけで、マシン上のSSHキー、AWS/GCP/Azureのクラウド認証情報、Kubernetes設定、git認証情報、環境変数（すべてのAPIキー含む）、シェル履歴、暗号化ウォレット、SSL秘密鍵、CI/CDキー、データベースパスワードなどを盗むことが可能です。悪意のあるコードは4096ビットRSAで暗号化されたデータを偽装ドメインのmodels.litellm.cloudに送信し、Kubernetesのkube-systemネームスペースに特権コンテナを作成して持続的なバックドアを仕込もうとします。

さらに危険なのは感染の拡散性です。LiteLLMに依存するプロジェクトは連鎖的に感染します。例えば、pip install dspy（litellm>=1.64.0に依存）も同様に悪意のコードを引き起こします。感染したバージョンはPyPI上で約1時間しか存続せず、これは皮肉なことに、攻撃者自身の悪意のあるコードにバグがあり、メモリ枯渇でクラッシュするためです。開発者のCallum McMahonは、AIプログラミングツールCursorでMCPプラグインを使用した際にLiteLLMが依存関係として取り込まれ、インストール後にマシンが即座にクラッシュしたことで攻撃が明らかになったと述べています。Karpathyは、「もし攻撃者が今回の攻撃にvibe codeを使わなかったら、数日、あるいは数週間気付かれずに済んだかもしれない」とコメントしています。

攻撃組織TeamPCPは、2月末にLiteLLMのCI/CDパイプラインにおけるTrivyの脆弱性スキャナーの設定ミスを突いてGitHub Actionsから侵入し、PyPIの発行トークンを窃取、その後直接PyPIに悪意のあるバージョンをアップロードしました。LiteLLMの管理者であるBerri AIのCEO、Krrish Dholakiaは、すべての発行トークンを削除し、JWTベースの信頼できるリリースメカニズムへの移行を計画しています。PyPAはセキュリティ通知PYSEC-2026-2を発行し、影響を受けたバージョンをインストールしたすべてのユーザーに対し、環境内のすべての認証情報が漏洩したと仮定し、直ちに変更するよう勧告しています。