何が起きたか
2026年3月24日 10:52 UTC、PythonパッケージリポジトリPyPIにlitellm バージョン1.82.8が公開された。litellmは100以上のLLM APIを統一的に呼び出すためのプロキシライブラリで、1日あたり約300万ダウンロードを誇る。
このバージョンは正規のCI/CDワークフローを経ずに、攻撃者が直接PyPIにアップロードしたものだった。パッケージには多段階のクレデンシャルスティーラーが仕込まれており、インストールした環境から:
- 環境変数(APIキー、データベース接続文字列)
- SSH鍵
- 認証トークン
を暗号化して外部サーバーに送信する機能を持っていた。
対応の経緯
- Sonatypeの自動検知ツールが公開から数秒で悪意あるバージョンを検知・ブロック(sonatype-2026-001357)
- PyPIはlitellmの全バージョンを隔離(新規インストール不可)
- litellm公式がセキュリティアップデートページを公開
- 攻撃者(TeamPCP)は「数十万デバイスからデータを盗んだ」と主張
個人開発者への示唆
今すぐ確認すべきこと
pip list | grep litellmでインストール済みバージョンを確認- バージョン1.82.8がある場合は即座にアンインストール
- 環境変数に設定していたAPIキーを全てローテーション
.envファイル内の認証情報も対象
今後の対策
- **
pip-audit**を導入して依存パッケージの脆弱性を定期チェック pip install --require-hashesでハッシュ検証を強制- ロックファイル(
pip-compile、poetry.lock)を使い、意図しないバージョンアップを防ぐ - DependabotやRenovateで依存パッケージの更新を自動監視
- 仮想環境を必ず使い、システムPythonへの直接インストールを避ける
根本的な問題
AIツールチェーンの依存関係は急速に複雑化している。litellmのような「便利なラッパーライブラリ」は多くのプロジェクトが依存しているが、サプライチェーンの安全性は開発者個人の注意に委ねられている部分が大きい。PyPI Trusted Publishersの採用やSigstoreでの署名検証が今後のエコシステム全体の課題だ。
一次ソース: litellm公式セキュリティアップデート / BleepingComputer / Sonatype / FutureSearch分析
💡 エキスパートコメント
AI Solo Craft 編集部のエキスパートが、今日のニュースを専門視点で読み解きます。
開発者ツールにもセキュリティのUXが必要。pip installの結果が安全かどうか、視覚的に分かる仕組みがない。パッケージマネージャーのUIに「署名済み」「最終監査日」を表示するだけでも状況は変わる。
AIスタートアップにとって依存パッケージの侵害は事業継続リスク。APIキーが漏洩すれば顧客データに直結する。SOC2やISO27001の監査項目にサプライチェーンセキュリティを加えることが不可避になるだろう。
📋 デスクコメント
今回の事件の教訓は「信頼は検証で裏付ける」こと。アクション: (1) litellm利用者は即座にバージョン確認・APIキーローテーション (2) 全プロジェクトでpip-auditを導入 (3) ロックファイルを使っていないプロジェクトは今日中に導入。
CI/CDを迂回された点が最も深刻。PyPIアカウントの2FAは必須だが、それだけでは不十分。Trusted Publishers(GitHub ActionsからのOIDCベース公開)への移行が急務。自分のパッケージもユーザーのパッケージも、署名検証の仕組みを入れるべきだ。