TechCrunch · AI · 2 ч назад
Delve обеспечила соблюдение требований безопасности в LiteLLM, проекте искусственного интеллекта, пострадавшем от вредоносного ПО.
LiteLLM предлагает проект искусственного интеллекта с открытым исходным кодом, используемый миллионами, который был заражен вредоносным ПО, собирающим учетные данные.
Подробности
Это один из тех эпизодов реальной жизни в Кремниевой долине, который кажется взятым из сатирического шоу HBO. На этой неделе в проекте с открытым исходным кодом, разработанном выпускником Y Combinator LiteLLM, было обнаружено действительно ужасное вредоносное ПО.
LiteLLM предоставляет разработчикам легкий доступ к сотням моделей искусственного интеллекта и предоставляет такие функции, как управление расходами. По словам Сника, одного из многих исследователей безопасности, следивших за инцидентом, это прорывной хит, который загружают до 3,4 миллиона раз в день. У проекта было 40 тысяч звезд на GitHub и тысячи форков (тех, кто использовал его как основу, чтобы изменить и сделать его своим).
Вредоносное ПО было обнаружено, задокументировано и раскрыто ученым-исследователем Каллумом МакМахоном из FutureSearch, компании, предлагающей агентов искусственного интеллекта для веб-исследований. Вредоносное ПО проникло через «зависимость», то есть другое программное обеспечение с открытым исходным кодом, на которое опирался LiteLLM. Затем он украл учетные данные для входа в систему всего, к чему прикасался. Благодаря этим учетным данным вредоносное ПО получило доступ к большему количеству пакетов и учетных записей с открытым исходным кодом, чтобы получить больше учетных данных и так далее.
Вредоносная программа вызвала выключение компьютера МакМэхона после того, как он загрузил LiteLLM. Это событие побудило его провести расследование и обнаружить это. По иронии судьбы, ошибка во вредоносном ПО привела к взрыву его машины. Поскольку этот кусок отвратительного кода был спроектирован так небрежно, он (как и знаменитый исследователь искусственного интеллекта Андрей Карпати) пришел к выводу, что он, должно быть, был закодирован с помощью вибрации.
Разработчики LiteLLM на этой неделе безостановочно работали над исправлением ситуации, и хорошая новость заключается в том, что она была обнаружена относительно быстро, вероятно, в течение нескольких часов.