Menurut pemantauan 1M AI News, anggota pendiri OpenAI Andrej Karpathy memposting bahwa serangan rantai pasokan terhadap alat pengembangan agen AI LiteLLM adalah “hal paling menakutkan dalam perangkat lunak modern”. LiteLLM memiliki 97 juta unduhan per bulan, dan versi berbahaya v1.82.7 serta v1.82.8 telah dihapus dari PyPI.
Hanya dengan perintah pip install litellm, dapat mencuri kunci SSH di mesin, kredensial cloud AWS/GCP/Azure, konfigurasi Kubernetes, kredensial git, variabel lingkungan (termasuk semua API kunci), riwayat shell, dompet terenkripsi, kunci SSL, kunci CI/CD, dan kata sandi basis data. Kode berbahaya mengemas data yang dienkripsi RSA 4096-bit dan mengirimkannya ke domain palsu models.litellm.cloud, serta mencoba membuat kontainer dengan hak istimewa di namespace kube-system dalam klaster Kubernetes untuk menyisipkan backdoor permanen.
Lebih berbahaya lagi adalah sifat menularnya: proyek yang bergantung pada LiteLLM juga akan terinfeksi, misalnya pip install dspy (bergantung pada litellm>=1.64.0) juga akan memicu kode berbahaya. Versi berbahaya ini hanya bertahan sekitar satu jam di PyPI sebelum ditemukan, yang ironis karena kode berbahaya dari penyerang sendiri memiliki bug yang menyebabkan kehabisan memori dan crash. Pengembang Callum McMahon saat menggunakan plugin MCP dalam alat pemrograman AI Cursor, LiteLLM yang menjadi dependensi transitif diinstal dan langsung menyebabkan mesin crash, sehingga mengungkap serangan ini. Karpathy berkomentar, “Jika penyerang tidak memiliki vibe code, serangan ini mungkin tidak akan terdeteksi selama berhari-hari bahkan berminggu-minggu.”
Kelompok serangan TeamPCP pada akhir Februari memanfaatkan kerentanan Trivy dalam pipeline CI/CD LiteLLM di GitHub Actions untuk masuk dan mencuri token rilis PyPI, kemudian melewati GitHub dan langsung mengunggah versi berbahaya ke PyPI. CEO Berri AI Krrish Dholakia yang memelihara LiteLLM menyatakan telah menghapus semua token rilis dan berencana beralih ke mekanisme rilis terpercaya berbasis JWT. PyPA merilis pengumuman keamanan PYSEC-2026-2, menyarankan semua pengguna yang menginstal versi yang terpengaruh untuk menganggap semua kredensial di lingkungan mereka telah bocor dan segera melakukan rotasi.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
Wakil Menteri Luar Negeri Iran: Tanggal untuk Putaran Berikutnya Pembicaraan AS Masih Belum Ditentukan
Wakil Menteri Luar Negeri Iran mengkritik AS karena mengirim pesan yang tidak jelas mengenai perundingan, menunjukkan bahwa tidak ada tanggal tertentu untuk pembicaraan mendatang yang telah ditetapkan. Ia menekankan bahwa terserah orang Amerika untuk menilai legalitas pernyataan-pernyataan tersebut.
GateNews3jam yang lalu
Mantan PM Inggris Liz Truss Secara Terbuka Mendukung Bitcoin sebagai Alat untuk Melawan Penggerusan Nilai Mata Uang
Mantan Perdana Menteri Inggris Liz Truss mengkritik arah ekonomi Britania, dengan mengutip pajak dan regulasi yang tinggi. Ia menganjurkan Bitcoin untuk melawan penggerusan nilai mata uang (currency debasement) dan sedang menyelenggarakan sebuah konferensi untuk mempromosikan gerakan kedaulatan dan kebebasan.
GateNews3jam yang lalu
Militer AS Menerapkan Blokade di Pelabuhan Iran, Memaksa 23 Kapal Berbalik
Komando Pusat AS mengumumkan blokade maritim terhadap kapal yang memasuki dan meninggalkan pelabuhan-pelabuhan Iran, yang menyebabkan 23 kapal mematuhi perintah dan berbalik sejak operasi dimulai.
GateNews3jam yang lalu
Pemimpin Tertinggi Iran Mengatakan Angkatan Laut Siap Menimbulkan 'Kekalahan Baru yang Menyakitkan' bagi Musuh
Pesan Hari Angkatan Bersenjata dari Ayatollah Khamenei menekankan kesiapsiagaan militer, menyampaikan harapan baik kepada personel dan keluarga mereka, serta mengancam "kekalahan baru yang menyakitkan" bagi para musuh, bertepatan dengan perayaan tahunan Iran.
GateNews4jam yang lalu
Iran Belum Menyetujui Putaran Pembicaraan Berikutnya dengan Amerika Serikat
Berita Gate, 18 April — Iran belum menyetujui untuk mengadakan putaran perundingan berikutnya dengan Amerika Serikat, menurut Tasnim News Agency milik Iran pada 18 April.
GateNews6jam yang lalu
Penasihat Pemimpin Tertinggi Iran: Poros Persatuan Internal dan Perlawanan Tidak Bisa Ditawar
Mohammad Makhber, seorang penasihat Pemimpin Tertinggi Iran, menegaskan bahwa persatuan internal Iran dan perlawanan adalah hal yang krusial bagi masa depan negara, dan tidak boleh dikompromikan dalam perundingan dengan pihak asing.
GateNews7jam yang lalu
