Предупреждение системы безопасности: Вредоносный код в LiteLLM может похищать API-ключи

Выпущено критическое предупреждение безопасности о вредоносном коде, обнаруженном в LiteLLM — популярной библиотеке для управления и вызова различных API больших языковых моделей. Эта уязвимость может привести к краже API-ключей из затронутых систем.

Затронутые системы

Согласно источнику, пользователи OpenClaw или проекта nanobot могут быть подвержены этой уязвимости. В предупреждении конкретно упоминаются две проблемы на GitHub, содержащие соответствующие технические детали и обсуждения:

• Проблема LiteLLM #24512: https://github.com/BerriAI/litellm/issues/24512
• Проблема nanobot #2439: https://github.com/HKUDS/nanobot/issues/2439

Технический контекст

LiteLLM — это библиотека с открытым исходным кодом, предоставляющая унифицированный интерфейс для вызова различных API LLM (таких как OpenAI, Anthropic, Cohere и др.) с последовательной обработкой ошибок и форматированием ответов. Она часто используется в конвейерах разработки AI-агентов для абстрагирования различий между API провайдеров. Уязвимость в такой библиотеке потенциально может перехватывать API-вызовы и извлекать конфиденциальные учетные данные.

Nanobot, по-видимому, является другим проектом, который может зависеть от LiteLLM или интегрироваться с ним, хотя источник не уточняет точные отношения. Связанные проблемы на GitHub, вероятно, содержат конкретные номера версий, фрагменты кода, показывающие вредоносную нагрузку, и шаги по устранению, которые разработчики должны немедленно реализовать.

Для разработчиков, использующих эти инструменты, немедленным действием должно быть изучение проблем на GitHub для получения технических деталей об уязвимости, проверка, затронута ли ваша реализация, и следование любым рекомендуемым исправлениям безопасности или обходным путям, предоставленным сопровождающими.