Разработчик популярного AI-шлюза решил заново пройти проверку безопасности у другого подрядчика. Это произошло после атаки на open source-версию LiteLLM и обвинений в адрес Delve, которая ранее выдала компании сертификаты соответствия.
LiteLLM объявила, что прекращает работать со стартапом Delve, который занимался для неё проверками соответствия. Как пишет TechCrunch, теперь компания собирается пройти повторную сертификацию через Vanta и отдельно привлечь независимого аудитора для проверки своих процедур безопасности.
Решение приняли вскоре после инцидента: на прошлой неделе в PyPI-пакеты litellm попал вредоносный код, который крал учётные данные. По словам CTO LiteLLM Ишана Джаффера, компрометация произошла через зависимость Trivy в CI/CD-пайплайне. Официальный Docker-образ LiteLLM, по его словам, затронут не был.
До этого LiteLLM получила через Delve два сертификата соответствия. Но затем вокруг Delve начался отдельный скандал: анонимный информатор обвинил стартап в том, что тот мог вводить клиентов в заблуждение относительно реального уровня соответствия требованиям, в том числе с помощью якобы недостоверных данных и формального аудита. Основатель Delve обвинения отрицает и предложил клиентам бесплатные повторные проверки.
По сути, LiteLLM решила не разбираться, кто прав в этом споре, и просто сменить подрядчика. После взлома и шума вокруг Delve компания хочет заново подтвердить, что её процессы безопасности действительно проверены и соответствуют требованиям.
