Bu olay, teknoloji dünyasında yaşanan ilginç bir gelişmeyi temsil ediyor: Open-source bir projede ciddi bir kötü amaçlı yazılım keşfedildi. Söz konusu proje, Y Combinator mezunu LiteLLM tarafından geliştiriliyor.
LiteLLM, geliştiricilere yüzlerce yapay zeka modeline kolay erişim sağlarken, harcama yönetimi gibi özellikler de sunuyor. Proje, Snyk’in verilerine göre, günde 3.4 milyon kez indirilerek büyük bir başarı elde etti. LiteLLM, GitHub’da 40,000 yıldız topladı ve birçok kullanıcı, projeyi temel alarak onu değiştirip kendi uygulamalarını oluşturdu.
Kötü amaçlı yazılım, araştırmacı Callum McMahon tarafından keşfedilip belgelenerek duyuruldu. Yazılım, LiteLLM’in bağlı olduğu başka bir open-source yazılım üzerinden sisteme sızdı ve erişim sağladığı tüm hesapların giriş bilgilerini çalmaya başladı. McMahon’un makinesi, LiteLLM’i indirdikten sonra kapandı ve bu durum, yazılımın araştırılmasına yol açtı. Kötü amaçlı kodun tasarımı oldukça kötü olduğu için, McMahon’un makinesinin “patlamasına” neden oldu.
LiteLLM’in geliştiricileri, durumu düzeltmek için bu hafta boyunca yoğun bir şekilde çalıştı ve sorun birkaç saat içinde fark edildi. Ancak olayın başka bir yönü, kullanıcıların LiteLLM’in web sitesinde, SOC2 ve ISO 27001 gibi iki büyük güvenlik sertifikasını geçtiğini görebilmeleri. Bu sertifikalar, LiteLLM’in güvenlik standartlarını kanıtlamak için Y Combinator destekli Delve adlı bir girişimi kullandı.
Delve, kullanıcılarını gerçek uyumluluk durumları hakkında yanıltmakla suçlanıyor. Bu tür sertifikalar, şirketlerin potansiyel güvenlik açıklarını sınırlamak için sağlam güvenlik politikalarının olduğunu göstermek için oluşturulmuştur. Ancak sertifikaların olması, LiteLLM gibi bir şirketin kötü amaçlı yazılımlardan tamamen korunmasını sağlamaz. SOC 2, yazılım bağımlılıklarıyla ilgili politikaları kapsasa da, kötü amaçlı yazılımlar yine de sisteme sızabilir.
LiteLLM’in CEO’su Krrish Dholakia, Delve’in kullanımı hakkında yorum yapmadı ve saldırının yarattığı karmaşayı temizlemekle meşguldü. Dholakia, “Mevcut önceliğimiz, Mandiant ile birlikte aktif bir soruşturma yürütmek. Adli incelememiz tamamlandığında, geliştirici toplumu ile edindiğimiz teknik dersleri paylaşmaya kararlıyız” dedi.
Peki, bu tür güvenlik sorunlarının önüne geçebilmek adına geliştirici topluluğunun daha fazla önlem alması gerektiğini düşünüyor musunuz?
