每日340萬次下載的AI工具遭植入惡意程式——「認證合規」究竟保護了什麼？

你信任的那個工具，正在悄悄偷走你的密碼。

本週，AI開發社群爆出一起令人警醒的資安事件。每日下載量高達340萬次的開源AI工具 LiteLLM，被發現遭植入惡意程式。這款由 Y Combinator 校友創辦的工具，讓開發者能以統一介面存取數百種AI模型，在GitHub上擁有4萬顆星與數千個分支版本，是全球AI應用開發生態中不可忽視的基礎設施。

攻擊如何發生——一條被污染的依賴鏈

發現這起事件的，是AI代理公司 FutureSearch 的研究科學家 Callum McMahon。他在下載 LiteLLM 後，電腦突然異常關機，這個反常現象促使他展開調查。

惡意程式並非藏在 LiteLLM 本身，而是潛伏在它所依賴的第三方開源套件中——這正是「供應鏈攻擊」的典型手法。惡意程式一旦執行，便開始竊取受感染機器上的所有登入憑證，再利用這些憑證滲透更多開源套件與帳號，形成連鎖式擴散。

諷刺的是，惡意程式本身設計粗糙，意外導致 McMahon 的電腦崩潰，反而暴露了自己的存在。著名AI研究者 Andrej Karpathy 與多位安全專家觀察這段程式碼後，認為其風格高度吻合「氛圍編程（vibe coding）」——即透過AI工具快速生成、缺乏嚴謹審查的程式碼。事件被發現的速度相對較快，估計在感染後數小時內即遭揭露。LiteLLM 執行長 Krrish Dholakia 目前正與資安公司 Mandiant 聯合調查，承諾完成鑑識後將公開技術細節。

認證的裂縫——SOC 2背後的問號

這起事件還牽扯出另一條更耐人尋味的線索。

廣告

廣告合作

[email protected]

廣告

截至3月25日，LiteLLM 官網仍顯著標示已通過兩項主要安全合規認證：SOC 2 與 ISO 27001。這兩項認證在企業採購評估中具有相當份量，許多台灣、香港及東南亞企業在選擇第三方軟體供應商時，也會將其列為基本門檻。

然而，為 LiteLLM 頒發這兩項認證的，是一家名為 Delve 的新創公司——而 Delve 本身正深陷爭議：有指控稱其透過生成虛假合規數據、使用流於形式的審計人員來誤導客戶。Delve 否認上述指控，但事件已引發廣泛討論。

工程師 Gergely Orosz 在X平台上的反應頗具代表性：「我以為這是個笑話……但 LiteLLM 真的是『由 Delve 保障安全』？」

需要釐清的是，SOC 2與ISO 27001評估的是企業的安全政策與管理流程，而非技術層面的絕對防護。透過依賴套件植入的惡意程式，即便在通過認證的企業中也可能發生。真正的問題不在於認證失靈，而在於頒發認證的機構本身是否可信。

對亞洲科技生態的啟示

這起事件對亞洲市場的意涵值得細想。

台灣、香港、新加坡及東南亞各地的科技企業，普遍深度整合開源生態系。隨著AI應用開發加速，對 LiteLLM 這類工具的依賴只會增加。然而，SBOM（軟體物料清單）的管理文化在多數亞洲企業中仍屬起步階段——開發者往往知道自己用了什麼工具，卻未必清楚那個工具又依賴了什麼。

此外，合規認證在亞洲市場扮演著特殊角色。在部分地區，SOC 2或ISO 27001認證幾乎是進入企業客戶名單的「入場券」。當這些認證的公信力受到質疑，採購端的判斷依據便出現空洞。這不只是資安問題，也是商業信任結構的問題。

值得注意的是，中國大陸的開源生態發展路徑與此有所不同。在監管框架與資料主權要求下，許多中國企業傾向使用自主可控的工具鏈，對國際開源套件的依賴相對較低——這在一定程度上降低了此類供應鏈攻擊的暴露面，但也形成了另一種封閉性風險。