보안 경고: LiteLLM의 악성 코드가 API 키를 탈취할 수 있습니다
다양한 대규모 언어 모델 API를 관리하고 호출하는 인기 라이브러리인 LiteLLM에서 악성 코드가 발견되었다는 중대한 보안 경보가 발령되었습니다. 이 취약점은 영향을 받는 시스템에서 API 키를 도난당할 수 있습니다.
영향을 받는 시스템
출처에 따르면, OpenClaw 또는 nanobot 프로젝트 사용자가 이 취약점의 영향을 받을 수 있습니다. 경보는 특히 관련 기술 세부 사항과 논의를 포함하는 두 개의 GitHub 이슈를 언급합니다:
- LiteLLM 이슈 #24512: https://github.com/BerriAI/litellm/issues/24512
- nanobot 이슈 #2439: https://github.com/HKUDS/nanobot/issues/2439
기술적 배경
LiteLLM은 일관된 오류 처리와 응답 형식으로 다양한 LLM API(OpenAI, Anthropic, Cohere 등)를 호출하기 위한 통합 인터페이스를 제공하는 오픈소스 라이브러리입니다. 이는 AI 에이전트 개발 파이프라인에서 공급자 API 간의 차이를 추상화하기 위해 일반적으로 사용됩니다. 이러한 라이브러리의 취약점은 API 호출을 가로채고 민감한 자격 증명을 유출할 수 있습니다.
Nanobot은 LiteLLM에 의존하거나 통합될 수 있는 또 다른 프로젝트로 보이지만, 출처는 정확한 관계를 명시하지 않습니다. 링크된 GitHub 이슈에는 특정 버전 번호, 악성 페이로드를 보여주는 코드 조각, 개발자가 즉시 구현해야 하는 완화 단계가 포함되어 있을 가능성이 높습니다.
이러한 도구를 사용하는 개발자의 경우, 취약점에 대한 기술적 세부 사항을 검토하기 위해 GitHub 이슈를 확인하고, 자신의 구현이 영향을 받는지 확인하며, 유지 관리자가 제공하는 권장 보안 패치나 해결 방법을 따르는 것이 즉각적인 조치여야 합니다.
📖 Read the full source: r/openclaw
👀 See Also
SupraWall MCP 플러그인, 로컬 AI 에이전트의 프롬프트 인젝션 공격 차단
SupraWall은 AI 에이전트의 민감한 데이터 유출 시도를 차단하는 MCP 플러그인으로, 프롬프트 인젝션 공격을 통한 자격 증명 유출을 방지한 레드팀 챌린지에서 입증되었습니다.
AI 시스템이 12개의 OpenSSL 제로데이 취약점 발견, Curl은 AI 스팸으로 인해 버그 바운티 취소
AISLE의 AI 시스템이 OpenSSL의 최근 보안 릴리스에서 12개의 제로데이 취약점을 모두 발견했으며, 이는 AI 기반 사이버보안의 첫 번째 대규모 실증 사례입니다. 한편, curl은 AI 생성 스팸 제출로 인해 버그 바운티 프로그램을 취소했습니다.
AISI 평가, 클로드 미토스 프리뷰의 CTF 및 다단계 공격에서의 사이버 역량을 보여줍니다
AI 보안 연구소(AISI)가 Anthropic의 Claude Mythos Preview를 평가한 결과, 전문가 수준의 캡처 더 플래그(CTF) 과제를 73% 성공적으로 완료했으며, 32단계 기업 네트워크 공격 시뮬레이션을 10번의 시도 중 3번 해결했습니다.
AI가 두 취약점 문화를 깨고 있다: 조정된 공개 vs 리눅스의 "버그는 버그일 뿐"
Jeff Kaufman은 최근 Copy Fail (ESP) 취약점을 사례로 들어 AI 기반 취약점 발견이 조정된 공개(coordinated disclosure)와 리눅스의 조용한 수정 문화를 어떻게 파괴하고 있는지 분석합니다.