1： お断り ★ w9hsXIdu9 2026-03-26 18:42:46 【緊急】月間9500万DLのLiteLLMが乗っ取られた。インストールしただけでSSH鍵・AWS認証・仮想通貨が全部盗まれる 2026年3月24日、AIエージェント開発者の間で最も広く使われているPythonライブラリの一つ「LiteLLM」が、サプライチェーン攻撃により完全に乗っ取られました。 月間9,500万ダウンロード。影響範囲は計り知れません。 結論から言うと LiteLLM v1.82.7 および v1.82.8 をインストールした場合、あなたのSSH鍵、AWS/GCP/Azure認証情報、 仮想通貨ウォレット、データベースパスワードがすべて攻撃者に送信された可能性があります。 さらにKubernetes環境では全ノードにバックドアが設置されている可能性があります。 犯人は「TeamPCP」— 連鎖的サプライチェーン攻撃グループ この攻撃は単独の事件ではありません。TeamPCPと呼ばれるグループによる、連鎖的なサプライチェーン攻撃の一環です 影響範囲がヤバい — あなたが使っているツールも汚染されている可能性 「自分はLiteLLMなんて使ってないから関係ない」 本当にそうですか？ LiteLLMのGitHubリポジトリ（40,400スター、6,700フォーク）のDependentsページを見ると、 19,262リポジトリと2,247パッケージがLiteLLMに依存しています。 つまり、pip install litellmを自分で実行していなくても、 別のツールが裏でインストールしている可能性があるのです。 LiteLLMに直接依存している主要プロジェクト 以下のプロジェクトを使っている場合、あなたの環境にlitellmが入っている可能性があります。今すぐpip show litellmで確認してください。 AIエージェントフレームワーク プロジェクト Stars 概要 影響 OpenHands（旧OpenDevin） 51k+ オープンソース版Devin（AI開発エージェント） litellmをコア依存として使用 DSPy（Stanford NLP） 24k+ プログラマティックLLMフレームワーク litellm>=1.64.0が必須依存 AgentOps 4k+ AIエージェント監視SDK litellm>=1.3.1を統合 LLM基盤ツール・オブザーバビリティ プロジェクト Stars 概要 影響 Langfuse 10k+ LLMオブザーバビリティプラットフォーム litellm SDKを公式統合 MLflow（Databricks） 20k+ MLOpsプラットフォーム litellmコールバック統合 Databricks AI Bridge — Databricks AI統合ライブラリ litellmに依存 エンタープライズ採用（GitHubリポジトリREADMEに掲載） 企業/プロジェクト 用途 Stripe LLMプロキシとして採用 Netflix AI基盤に統合 Google ADK AI Development Kitで連携 OpenAI Agents SDK エージェントSDKで利用 Greptile コードベースAI分析 詳細はソース 2026/3/26 LiteLLM Supply Chain Attack Steals 300GB Data and 500K Credentials LiteLLMの侵害事件は、広く利用されているソフトウェアパッケージであっても深刻なリスクを孕んでいる可能性があることを示している。これは開発者が依存関係を慎重に管理し、潜在的な脅威に常に警戒する必要があることを改めて浮き彫りに…