Popularny startup AI, LiteLLM, z którego korzystają miliony programistów, zrywa współpracę z firmą certyfikującą Delve po druzgocącym ataku hakerskim.
W skrócie:
- LiteLLM, twórcy kluczowej bramki AI, padli ofiarą złośliwego oprogramowania, które kradło dane uwierzytelniające, podważając ich dotychczasowe certyfikaty bezpieczeństwa.
- Ich dotychczasowy partner, startup Delve, został oskarżony o wprowadzanie klientów w błąd, generowanie fałszywych danych i korzystanie z usług niewiarygodnych audytorów.
- W odpowiedzi na kryzys, LiteLLM ogłosiło, że powtórzy proces certyfikacji, tym razem z pomocą konkurenta Delve – firmy Vanta – i niezależnego audytora.
Kiedy budujesz zaufanie milionów deweloperów, nie możesz pozwolić sobie na cień wątpliwości. Tę gorzką lekcję odrobił właśnie LiteLLM, startup stojący za niezwykle popularną bramką AI, która ułatwia programistom integrację z różnymi modelami językowymi. W zeszłym tygodniu ich projekt open source stał się celem ataku, w wyniku którego złośliwe oprogramowanie kradło dane uwierzytelniające użytkowników. To był cios. Potężny i bolesny. A jego konsekwencje dopiero zaczynają rozlewać się po branży.
Jak certyfikat bezpieczeństwa stał się tykającą bombą?
Każda poważna firma technologiczna, zwłaszcza operująca w chmurze, potrzebuje pieczątki potwierdzającej, że jej procedury bezpieczeństwa są na najwyższym poziomie. Taką pieczątką są certyfikaty zgodności, jak np. SOC 2. LiteLLM, chcąc zapewnić swoich klientów o solidności zabezpieczeń, zatrudniło do tego zadania firmę Delve. To miał być dowód profesjonalizmu. Gwarancja, że dane są bezpieczne, a procedury minimalizują ryzyko incydentów. Niestety, w tym przypadku certyfikat okazał się iluzją.
Problem w tym, że Delve – startup, który sam miał być strażnikiem porządku – znalazł się w centrum poważnych oskarżeń. Według doniesień i relacji anonimowego sygnalisty, firma miała rzekomo wprowadzać swoich klientów w błąd. Jak? Poprzez generowanie fałszywych danych i korzystanie z usług audytorów, którzy bezrefleksyjnie “przyklepywali” raporty, nie weryfikując realnego stanu zabezpieczeń. To zarzut o fundamentalne nadszarpnięcie zaufania, które jest walutą w świecie cyberbezpieczeństwa. Założyciel Delve zaprzeczył oskarżeniom i zaoferował klientom darmowe ponowne testy. To jednak nie uspokoiło sytuacji. Wręcz przeciwnie, sygnalista opublikował kolejne dowody, w tym rzekome rachunki, które miały potwierdzać jego wersję zdarzeń.
LiteLLM głosuje nogami i ucieka do konkurencji
Po tak trudnym tygodniu i druzgocącym ciosie wizerunkowym, LiteLLM nie zamierzało czekać. Reakcja była natychmiastowa i stanowcza. Ishaan Jaffer, CTO firmy, ogłosił publicznie na platformie X, że jego firma zrywa wszelkie więzi z Delve. Jaffer poinformował, że LiteLLM przeprowadzi cały proces certyfikacji od nowa, tym razem z pomocą Vanta, bezpośredniego konkurenta Delve. Co więcej, firma sama znajdzie niezależnego, zewnętrznego audytora, aby zagwarantować, że weryfikacja będzie autentyczna i rygorystyczna.
To ruch, który ma pokazać rynkowi jedno: “popełniliśmy błąd, ufając niewłaściwemu partnerowi, ale teraz naprawiamy go z nawiązką”. Dla startupu, którego fundamentem jest zaufanie deweloperów, nie ma innej drogi. Muszą udowodnić, że bezpieczeństwo traktują śmiertelnie poważnie. Koszty finansowe i organizacyjne ponownej certyfikacji są tu drugorzędne. Liczy się tylko odzyskanie wiarygodności.
Dlaczego ta historia jest lekcją dla całej branży AI?
Afera LiteLLM i Delve to coś więcej niż korporacyjna drama. To sygnał ostrzegawczy dla całego, rozgrzanego do czerwoności, ekosystemu startupów AI. W pogoni za szybkim wzrostem, finansowaniem i dominacją na rynku, łatwo jest pójść na skróty. Zwłaszcza w kwestiach tak “nudnych” jak zgodność i procedury bezpieczeństwa. Pokusa, by zatrudnić firmę, która załatwi certyfikat szybko i bezboleśnie, jest ogromna. Jak widać, taka strategia może eksplodować w najmniej oczekiwanym momencie.
Incydent pokazuje, że weryfikacja partnerów jest absolutnie kluczowa. Nie wystarczy mieć certyfikat – trzeba mieć pewność, że proces, który do niego doprowadził, był rzetelny. Dla menedżerów, prawników i inwestorów to ważna nauczka: due diligence w obszarze cyberbezpieczeństwa nie jest opcją, a obowiązkiem. W przeciwnym razie jeden złośliwy plik może zniweczyć lata ciężkiej pracy i zniszczyć reputację, której odbudowanie graniczy z cudem. Zwłaszcza obecnie, gdy AI zarządza coraz bardziej krytycznymi danymi. Tutaj nie ma miejsca na błędy.