LocalLLaMAが警告したLiteLLM改ざんPyPI版、import前に実行

2026年3月24日、LocalLLaMAの警告投稿によって深刻なPythonサプライチェーン事故が一気に可視化された。PyPIに公開されたLiteLLM 1.82.7と1.82.8が改ざんされ、Python起動時に自動実行される悪性の .pth ファイルを含んでいたと報告されたためだ。ここが特に危険だったのは、アプリケーションがLiteLLMをimportする前でも、影響を受けたwheelをインストールしただけでコード実行が起こり得た点にある。

技術的な説明は、公開GitHub issueとFutureSearchのincident write-upが最も具体的だ。報告によれば、汚染されたwheelは litellm_init.pth を配置し、interpreter startup時にcredential-stealing payloadを起動した。対象にはSSH key、cloud credential、.env ファイル、GitやDockerの設定が含まれ、収集データは models.litellm.cloud へ送信されようとしていたという。さらにKubernetes credentialやcluster secretへのアクセス試行も記されており、developer workstationやCI環境では被害範囲が大きくなりうる。

• FutureSearchのタイムラインでは、1.82.8は2026年3月24日10:52 UTCにPyPIへ公開され、その後1.82.7も影響版として追加された。
• 攻撃経路が重大なのは、.pth ファイルがPython startup時に自動実行されるためで、import litellm は不要だったことだ。
• FutureSearchはその後、問題のバージョンがyankされ、incident responseの進行に伴ってPyPI quarantineも解除されたと述べている。

このRedditスレッドが重要だったのは、LiteLLMがagent stack、proxy server、LLM routing layerで広く使われているからだ。単なる無名パッケージの事故ではなく、多くのAIチームがすでにprivileged environmentに置いているツールが攻撃面になった。そこにはkey、model credential、infrastructure metadataが共存していることも珍しくない。

実務上の結論は、最初のパニックより狭いが依然として重い。公開報告が直接挙げているのはプロジェクト全体ではなく、1.82.7と1.82.8である。それでも該当ビルドを導入したチームは、環境が露出した前提で考え、ホスト上に存在したsecretをrotationし、それらを引き継いだ可能性のある下流システムも確認すべきだろう。

一次情報: BerriAI GitHub issue、FutureSearch incident write-up。コミュニティ出典: LocalLLaMAスレッド。