セキュリティアラート：LiteLLM内の悪意あるコードがAPIキーを盗む可能性あり

様々な大規模言語モデルAPIの管理と呼び出しに使用される人気ライブラリ「LiteLLM」で悪意のあるコードが発見され、重大なセキュリティ警告が発出されました。この脆弱性により、影響を受けるシステムからAPIキーが盗まれる可能性があります。

影響を受けるシステム

ソースによると、OpenClawまたはnanobotプロジェクトのユーザーはこの脆弱性の影響を受ける可能性があります。警告では特に、関連する技術的詳細と議論が含まれる2つのGitHub Issueが言及されています：

• LiteLLM Issue #24512: https://github.com/BerriAI/litellm/issues/24512
• nanobot Issue #2439: https://github.com/HKUDS/nanobot/issues/2439

技術的背景

LiteLLMは、様々なLLM API（OpenAI、Anthropic、Cohereなど）を呼び出すための統一インターフェースを提供し、一貫したエラーハンドリングとレスポンスフォーマットを実現するオープンソースライブラリです。AIエージェント開発パイプラインで、プロバイダーAPI間の差異を抽象化するためによく使用されています。このようなライブラリの脆弱性は、API呼び出しを傍受して機密情報である認証情報を外部に送信する可能性があります。

Nanobotは、LiteLLMに依存または統合している可能性のある別のプロジェクトのようですが、ソースでは正確な関係は明記されていません。リンクされたGitHub Issueには、影響を受けるバージョン番号、悪意のあるペイロードを示すコードスニペット、開発者が直ちに実施すべき緩和策などが含まれている可能性があります。

これらのツールを使用している開発者は、直ちにGitHub Issueを確認して脆弱性の技術的詳細を確認し、自身の実装が影響を受けているかどうかをチェックし、メンテナーが提供する推奨されるセキュリティパッチや回避策に従うべきです。