اجتازت “دلڤ” الامتثال الأمني على “لايت إل إل إم”، مشروع الذكاء الاصطناعي الذي تعرض للبرمجيات الخبيثة
هذه واحدة من تلك الحلقات الحياتية في وادي السيليكون التي تبدو كأنها مأخوذة من برنامج السخرية على HBO. هذا الأسبوع، تم اكتشاف برنامج ضار فظيع في مشروع مفتوح المصدر طوره خريج Y Combinator LiteLLM.
يتيح LiteLLM للمطورين الوصول بسهولة إلى مئات من نماذج الذكاء الاصطناعي ويقدم ميزات مثل إدارة النفقات. إنه نجاح ساحق، تم تنزيله حتى 3.4 مليون مرة يومياً، وفقًا لشركة Snyk، وهي واحدة من العديد من الباحثين الأمنيين الذين يراقبون الحادث. كان للمشروع 40 ألف نجمة على GitHub وآلاف من الفروع (أولئك الذين استخدموه كأساس لتعديله وجعله ملكهم).
تم اكتشاف البرنامج الضار وتوثيقه والإبلاغ عنه بواسطة عالم الأبحاث كالم ماكماهون من FutureSearch، وهي شركة تقدم وكلاء ذكاء اصطناعي للبحث عبر الإنترنت. تسلل البرنامج الضار عبر “اعتماد”، مما يعني أنه جاء من برنامج مفتوح المصدر آخر اعتمد عليه LiteLLM. ثم سرق بيانات تسجيل الدخول لكل ما لمسه. مع تلك المعلومات، تمكن البرنامج الضار من الوصول إلى المزيد من الحزم والمستخدمين لسرقة المزيد من بيانات الاعتماد، وهكذا.
اقرأ أيضاً
تسبب البرنامج الضار في إغلاق جهاز ماكماهون بعد أن قام بتنزيل LiteLLM. وقد دفعه هذا الحدث إلى التحقيق واكتشافه. ومن المفارقات، أن خللاً في البرنامج الضار تسبب في انفجار جهازه. نظرًا لأن تلك الشفرة الضارة كانت مصممة بشكل غير منظم، استنتج هو (وكذلك الباحث المشهور في الذكاء الاصطناعي أندريه كارباتي) أنه لا بد أن تم برمجتها بشكل عشوائي.
كان مطورو LiteLLM يعملون دون توقف هذا الأسبوع لتصحيح الوضع، والخبر الجيد هو أنه تم اكتشافه بسرعة نسبية، من المحتمل في غضون ساعات.
هناك جزء آخر من هذه السلسلة لا يمكن للناس على X التوقف عن الحديث عنه. لا يزال LiteLLM، اعتبارًا من 25 مارس عندما نظرنا، يعرض بفخر على موقعه الإلكتروني أنه قد اجتاز شهادتين رئيسيتين في الامتثال الأمني، SOC2 وISO 27001.
لكنه استخدم شركة ناشئة تسمى Delve لتلك الشهادات.
<p>حدث Techcrunch</p>
<div class="inline-cta__content">
<p>
<span class="inline-cta__location">سان فرانسيسكو، كاليفورنيا</span>
<span class="inline-cta__separator">|</span>
<span class="inline-cta__date">13-15 أكتوبر 2026</span>
</p>
</div>
</div>Delve هي شركة ناشئة مدعومة بالذكاء الاصطناعي من Y-Combinator تم اتهامها بتضليل عملائها بشأن مستوى الامتثال الحقيقي الخاص بهم من خلال توليد بيانات مزيفة، واستخدام مدققين يوافقون على التقارير. وقد أنكرت Delve هذه الاتهامات.
هناك نقطة من الفهم هنا تستحق التوضيح. تهدف مثل هذه الشهادات إلى إظهار أن شركة لديها سياسات أمان قوية للحد من احتمال وقوع حوادث مثل هذه. الشهادات لا تمنع تلقائياً شركة مثل LiteLLM من التعرض للبرامج الضارة. بينما يُفترض أن يغطي SOC 2 السياسات المحيطة بالاعتماد على البرمجيات، إلا أن البرامج الضارة لا تزال قادرة على التسلل.
ومع ذلك، كما أشار المهندس جيرجيلي أوروز على X عندما رأى الناس يسخرون من الأمر عبر الإنترنت، “أوه، تبا، ظننت أن هذا كان مزحة. … لكن لا، LiteLLM *حقًا* كانت ‘مؤمنة بواسطة Delve.'”
بالنسبة لـ LiteLLM، لم يكن لدى المدير التنفيذي كريش دهولكيا أي تعليق على استخدام Delve. لا يزال مشغولاً بتنظيف الفوضى المؤسفة الناتجة عن كونه ضحية للهجوم.
“أولويتنا الحالية هي التحقيق النشط جنبًا إلى جنب مع ماندينت. نحن ملتزمون بمشاركة الدروس الفنية المستفادة مع مجتمع المطورين بمجرد اكتمال مراجعتنا الجنائية،” قال لـ TechCrunch.