LiteLLM zrywa z Delve po skandalu z malware
- LiteLLM zakończyło współpracę z Delve po tym, jak startup wpadł w poważne tarapaty związane z bezpieczeństwem.
- Przez Delve LiteLLM uzyskało dwa certyfikaty zgodności bezpieczeństwa, które teraz stoją pod znakiem zapytania.
- Atak malware kradnącego dane uwierzytelniające uderzył w Delve w zeszłym tygodniu, wywołując lawinę konsekwencji dla jego klientów.
LiteLLM oficjalnie rozstało się z Delve — startupem od compliance — tydzień po tym, jak Delve padł ofiarą malware kradnącego dane logowania.
Skąd w ogóle wzięło się Delve?
LiteLLM korzystał z Delve do zdobycia dwóch certyfikatów bezpieczeństwa. Takie certyfikaty to w branży enterprise przepustka do poważnych kontraktów — bez nich wiele dużych firm w ogóle nie usiądzie do negocjacji. Delve specjalizowało się właśnie w tym: pomaganiu startupom przebrnąć przez żmudne audyty compliance w stylu SOC 2 czy ISO 27001.
Problem w tym, że firma oferująca innym bezpieczeństwo sama dała się oskubać.
Credential-stealing malware. Klasyk, który wciąż działa
Złośliwe oprogramowanie kradnące dane uwierzytelniające to jeden z najstarszych i najbardziej skutecznych wektorów ataku. Trafia na maszynę pracownika, wyciąga zapisane hasła, tokeny sesji, klucze API — i wysyła to wszystko do atakującego. Jeśli zainfekowany komputer należy do firmy zarządzającej certyfikatami bezpieczeństwa innych organizacji, skala problemu rośnie wykładniczo.
Delve wpadło dokładnie w taką pułapkę. Atak nastąpił w zeszłym tygodniu i najwyraźniej wystarczyło to, żeby LiteLLM podjęło decyzję o natychmiastowym zerwaniu współpracy.
LiteLLM to nie jest mały gracz
LiteLLM to popularny gateway AI — warstwa pośrednicząca, która pozwala programistom wołać dziesiątki różnych modeli językowych przez jedno zunifikowane API. Chcesz przełączać się między GPT-4o, Claude 3.7 Sonnet a Gemini bez przepisywania kodu? LiteLLM to umożliwia. Projekt ma tysiące gwiazdek na GitHubie i jest aktywnie używany przez startupy oraz zespoły enterprise budujące aplikacje AI.
Dla takiej firmy certyfikaty compliance to nie ozdoba — to warunek konieczny do sprzedaży w segmencie B2B. Utrata zaufania do podmiotu, który te certyfikaty wystawiał, to bezpośredni cios w wiarygodność biznesową.
Dwa certyfikaty w powietrzu
LiteLLM zdobyło przez Delve dwa certyfikaty bezpieczeństwa. Firma nie podała publicznie, które dokładnie — ale w tym segmencie rynku standardem są SOC 2 Type II oraz ISO 27001. Oba wymagają regularnych audytów i weryfikacji przez akredytowane podmioty trzecie.
Teraz LiteLLM musi prawdopodobnie przejść przez cały proces od nowa z innym dostawcą. To miesiące pracy i niemały koszt — SOC 2 Type II potrafi kosztować od kilkudziesięciu do kilkuset tysięcy dolarów, zależnie od zakresu i dostawcy audytu.
Delve miało już wcześniej kontrowersje
Tytuł artykułu TechCrunch nazywa Delve wprost „kontrowersyjnym startupem” — co sugeruje, że problemy z tą firmą nie zaczęły się od malware. Szczegóły wcześniejszych kontrowersji nie są znane z samego źródła, ale fakt, że TechCrunch używa tego określenia bez dodatkowego wyjaśnienia, mówi sam za siebie: branża już wcześniej miała powody do sceptycyzmu wobec Delve.
Malware był więc prawdopodobnie kroplą, która przelała czarę — nie jedynym powodem decyzji LiteLLM.
Kto jeszcze korzystał z Delve?
To pytanie, na które odpowiedź będzie napływać przez kolejne dni. Jeśli LiteLLM publicznie ogłosił zerwanie współpracy, inne firmy korzystające z usług Delve muszą teraz same ocenić, czy ich certyfikaty i dane nie są zagrożone.
Atak credential-stealing malware na firmę compliance to scenariusz, który potencjalnie kompromituje wszystkich jej klientów jednocześnie — atakujący mógł uzyskać dostęp do systemów i danych wielu organizacji naraz, nie tylko jednej.
Do tej pory Delve nie opublikowało publicznego komunikatu o incydencie.
