Гул серверов, мигающие огни в дата-центре… Легко забыть о невидимой войне, что идёт nonstop. Но на этой неделе она вырвалась на свет божий так, что всем разработчикам ИИ стоит встрепенуться.
Хакеры налетели на здоровенную дыру в безопасности LiteLLM — open-source-проекта, который стал почти обязательным для тех, кто работает с большими языковыми моделями. Речь о CVE-2026-42208 — сочной SQL-инъекции, которая для киберпреступников как открытая дверь. И самое паршивое: для входа им даже логин не нужен.
Представьте LiteLLM как идеального консьержа для ваших ИИ-моделей. Он позволяет общаться с OpenAI, Anthropic или Bedrock через один гладкий интерфейс. Разработчики его обожают: упрощает жизнь, позволяя управлять целым зоопарком ИИ-мозгов через единый API. Это как универсальный пульт для эры ИИ. С 45 тысячами звёзд на GitHub ясно, что инструмент огонь. Но как любой мощный девайс, без должной защиты он превращается в бомбу замедленного действия.
Что за эксплойт? Классическая SQL-инъекция. Вы даёте базе данных команду вытащить данные, а вместо чистого запроса подсовываете вредоносный код, замаскированный внутри. LiteLLM, торопясь проверить ваш API-ключ, слеплял запросы из сырых строк. Плохая привычка. Атакующим хватило специального заголовка ‘Authorization’ — безобидного на вид куска данных, — чтобы любой маршрут API LiteLLM выдал базу с потрохами. А в потрохах? API-ключи, виртуальные ключи, мастер-ключи, переменные окружения, конфиг-секреты — короче, ключи от вашего ИИ-царства.
Как оставить парадную дверь нараспашку с табличкой «Ценности внутри».
Sysdig, исследователи, что раскопали это, заметили: эксплуатация началась через 36 часов после публичного раскрытия бага. Не прогулка — спринт. Атакующие не тыкали пальцем наугад: они целенаправленно били по эндпоинту ‘/chat/completions’, с отточенным заголовком ‘Authorization: Bearer’. Знали, в каких таблицах лежат API-ключи и учётки провайдеров. Точно знали, где цифровое золото зарыто.
Хакеры не дураки. После разведки сменили IP — классика маскировки — и вернулись с ювелирной точностью, используя разнюханную структуру таблиц. Из вандализма перешли к хирургической краже. Это не ноунейм-скрипткидди, а организованная операция.
Невидимая цепочка: атаки на цепочку поставок и ИИ
Ещё тревожнее: LiteLLM недавно уже светился в прицелах. Хакеры TeamPCP подкинули вредоносные пакеты в PyPI — хаб для Python-кода — с инфостилером внутри. Классическая атака на цепочку поставок, в экосистему, от которой зависят девелоперы. Так что не только прямая уязвимость, но и проект под прицелом глобального компромета. Двойной удар, друзья.
Этот инцидент подчёркивает сдвиг, за которым я слежу: ИИ — не просто софт, а платформенная смена. Мы уходим от приложений на вычислениях к приложениям, которые сами вычисляют умно. Как интернет или мобилки раньше, новая платформа несёт свои землетрясения в безопасности. Атакующим выгоднее бить по базовым ИИ-инструментам, чем по отдельным аппам.
Sysdig отметили: оператор сразу пошёл к секретам — явный знак, что знал, куда бить.
Это не только про LiteLLM. Это сигнал. По мере интеграции ИИ-моделей в критическую инфраструктуру — от финансов до медицины — стимулы для атак на управляющие инструменты взлетят до небес. Золотая лихорадка не за данными, а за ключами к ИИ-системам.
Можно ли это проигнорировать?
Мейнтейнеры уже запустили патч в 1.83.7: отказались от опасной склейки строк в пользу параметризованных запросов. Как заделать протекающую плотину. Но вот загвоздка: сколько инстансов всё ещё висят на старом коде? Sysdig предупреждает: все открытые LiteLLM с уязвимостью считать скомпрометированными. Ротируйте все API-ключи, виртуальные ключи, учётки провайдеров. Масштабная чистка — ближе к сносу и стройке заново.
Кто не может обновиться мигом — а таких команд сейчас толпы — есть обход: disable_error_logs: true в general_settings. Временный замок на дверь, блокирующий вредоносный ввод. Не идеал, но щит до патча.
Суть в том: это не просто баг. Симптом Дикого Запада в ИИ-разработке. Строим мощные системы на скорости, а безопасность отстаёт. Инцидент с LiteLLM — напоминание: фундамент решает. Хрупкие оркестраторы ИИ — и вся надстройка под угрозой.
Пора менять мышление. Безопасность в эру ИИ — не довесок, а основа. Не «если» ударят, а «когда» и «насколько метко». Угрозы уже показывают и мотивацию, и умение. Будущее манит, но требует бдительности, какой раньше не бывало.
🧬 Related Insights
- Read more: Agentic SOC: Security’s Shiny New Buzzword?
- Read more: Edge Decay: Attackers Are Breaching Your ‘Secure’ Firewall First
Frequently Asked Questions
What is LiteLLM? LiteLLM — open-source-прокси и SDK, позволяющий разработчикам работать с разными большими языковыми моделями (LLM) через единый API. Упрощает интеграцию ИИ-моделей в приложения.
How was LiteLLM exploited? Хакеры использовали SQL-инъекцию (CVE-2026-42208) в LiteLLM. Специально сформированный заголовок Authorization позволил обойти аутентификацию и вытащить из базы прокси API-ключи и секреты.
Is my application vulnerable if I use LiteLLM?
Если версия LiteLLM старше 1.83.7, приложение под риском. Срочно обновитесь или примените обход (disable_error_logs: true) и ротируйте все чувствительные учётки в LiteLLM.
