집소프트웨어 공급망 공격으로 litellm 라이브러리가 타격을 입자 AI 커뮤니티가 경악하고 있다
유명 AI 과학자 안드레이 카르파티(Andrej Karpathy)가 최근 AI 소프트웨어 공급망에 대한 표적형 포이즌 공격을 폭로하며, AI 개발자 커뮤니티에 큰 파장을 일으켰습니다. 공격의 표적은 GitHub에서 4만 개 이상의 스타를 기록하고 월간 다운로드 수가 1억 건에 달하는 인기 있는 파이썬 라이브러리 ‘litellm’입니다. 주요 AI 모델 API를 호출하는 범용 어댑터 역할을 하는 이 라이브러리의 보안 침해는 도미노 효과를 일으켜, AI 개발 툴체인 전체에 잠재적인 영향을 미칠 수 있습니다.
설치 시 감염: 악성 코드의 '보이지 않는' 작동 방식
이 공격의 은밀함은 교묘한 트리거에서 비롯됩니다. 악의적인 행위자들은 litellm의 특정 PyPI 릴리스 두 개(버전 1.82.7 및 1.82.8)에 악성 파일을 삽입했습니다. .pth 파일을 삽입했습니다.
자동 실행: 감염된 버전 중 하나를 pip install 이 감염된 버전 중 하나를 설치하기만 해도 모든 Python 프로세스가 시작될 때마다 악성 코드가 자동으로 실행됩니다. 수동으로 import하거나 함수를 호출할 필요도 없습니다. 설치가 완료되는 순간 시스템은 위험에 노출됩니다.
포괄적인 데이터 유출: 일단 활성화되면, 이 코드는 다양한 민감한 호스트 데이터를 적극적으로 수집합니다. 여기에는 SSH 키, 클라우드 인증 정보(AWS/GCP), 쿠버네티스 키, 암호화폐 지갑, 그리고 종종 귀중한 대규모 모델 API 키를 포함하는 모든 환경 변수가 포함됩니다. 탈취된 정보는 암호화되어 공격자의 원격 서버로 전송됩니다.
예상치 못한 반전: "버그"로 인해 발각된 공격자
오랫동안 발견되지 않았을 수도 있는 이 범죄는 해커 자신의 실수로 인해 좌절되었습니다. 한 개발자가 Cursor 에디터의 확장 기능을 사용하던 중 자신의 컴퓨터 메모리 사용량이 갑자기 급증하는 것을 발견했습니다.
조사 결과, 악성 코드가 프로세스 포크 폭탄(fork bomb)을 유발한 것으로 드러났습니다. 이는 지수적으로 복제되어 시스템을 순식간에 다운시키는 현상입니다. 이러한 불안정성은 보안 연구원들이 문제를 악성 패키지로 추적할 수 있게 해준 결정적인 단서가 되었습니다. 카르파티(Karpathy)는 공격자의 코드가 더 능숙하게 작성되었다면, 이 대규모 절도 사건이 여전히 진행 중일 수도 있었을 것이라고 지적했습니다.
연쇄 반응: 보안 도구가 어떻게 "칼을 든 자"가 되었는가
이번 사건은 공급망 실패가 연쇄적으로 이어진 사례를 여실히 보여줍니다. 공격 그룹인 TeamPCP는 먼저 보안 스캐닝 도구인 Trivy를 해킹했습니다. 이들은 탈취한 인증 정보를 이용해 litellm의 릴리스 토큰을 확보하고, 코드 검토 과정을 우회하여 악성 패키지를 PyPI에 직접 업로드했습니다.
파장은 광범위합니다. DSPy, MLflow, Open Interpreter를 포함한 2,000개 이상의 널리 사용되는 AI 도구가 이 라이브러리에 간접적으로 의존하고 있습니다. 보안 전문가들은 개발자들에게 다음 명령어를 실행하여 설치된 버전을 확인하도록 긴급히 권고합니다. pip show litellm. 버전이 1.82.7 이상인 경우, 자격 증명이 완전히 유출된 것으로 간주하고 모든 민감한 키와 토큰을 즉시 교체해야 합니다.
관련 기사
신형 로웨 i6, 65만 9천 위안 가격으로 출시… 스냅드래곤 8155 및 두바오 대형 모델 탑재
SAIC Roewe는 오늘 Roewe D7의 디자인 언어를 전면적으로 반영한 소형 세단인 신형 Roewe i6를 출시했다. 전면부를 가로지르는 독특한 대형 수직 그릴과 수평형 헤일로 라이트 바는 강력한 기술적 감각과 시각적 폭감을 선사한다. 후면부에는 위로 솟은 덕테일 스포일러가 전면 폭을 가득 채우는 테일라이트와 조화를 이루어 차량 전체에 더욱 젊은 느낌
자산, 건물, 그리고 건강을 어떻게 보호할 수 있을까요?
예측할 수 없는 세상에서 ‘보호’는 단순한 선택지가 아닌 전략적 필수 요소가 되었습니다. 재정을 지키든, 건물을 보강하든, 아니면 개인의 건강에 신경 쓰든, 장기적인 안정은 선제적인 계획에 달려 있습니다. 진정한 안전은 다층적으로 구축되며, 재정 관리, 구조적 복원력, 그리고 정보에 입각한 건강 관리가 서로 조화를 이루어야 비로소 실현됩니다.가장 소중한 것
AI 브라우저 ‘코멧(Comet)’, 아이패드에서 완벽한 멀티태스킹 지원 기능으로 출시
퍼플렉시티(Perplexity)의 AI 브라우저 ‘코멧(Comet)’이 iPadOS와 완벽하게 호환되는 iPad 버전을 정식 출시했습니다. 이번 업데이트를 통해 멀티 윈도우 브라우징과 멀티태스킹 지원 기능이 추가되었으며, OpenAI 및 Anthropic과 같은 주요 AI 모델과의 긴밀한 연동을 통해 더욱 지능적인 웹 경험을 제공합니다.코멧 브라우저는 사용
관련 특별 주제 추천
사업
최고의 AI 가격 최적화 소프트웨어: 경쟁사 추적 및 스토어 가격 자동 조정
XIX.AI에서 2026년 최고의 AI 가격 최적화 소프트웨어를 만나보세요. 저희가 엄선한 이 목록에는 경쟁사를 추적하고 최대 수익을 위해 매장 가격을 자동으로 조정해 주는, 최고 평점을 받은 혁신적인 도구들이 포함되어 있습니다. 실제 테스트 결과를 바탕으로 무료 버전과 유료 버전을 비교해 보세요. 지금 바로 가격 경쟁력의 우위를 확보하세요.
10 도구
xix.ai
암호
최고의 AI 코드 검토 도구: 깔끔한 코드 준수 자동화 및 레거시 리포지토리 파일 리팩토링
XIX.AI에서 2026년 최고의 AI 코드 검토 도구를 만나보세요. 엄선된 이 목록에는 깔끔한 코드 준수 여부를 자동으로 확인하고 레거시 리포지토리 파일을 리팩토링하는 데 있어 판도를 바꿀 만한 최고 등급의 도구들이 포함되어 있습니다. 실제 테스트 결과와 매주 업데이트되는 순위를 통해 무료 및 유료 옵션을 비교해 보세요. 지금 바로 AI의 경쟁력을 확보하세요.
10 도구
xix.ai
텍스트 음성 변환
난독증 환자를 위한 최고의 AI 음성 합성 앱: 학생들의 학습 및 독서 효율성 향상
난독증 지원을 위해 엄선된 2026년 최신 최고 평점 AI TTS 앱을 만나보세요. 전문가들이 선정한 이 순위는 무료 및 유료 도구를 비교 분석하여, 읽기 효율과 학습 효과를 높여주는 강력한 기능들을 소개합니다. 학생들의 잠재력을 최대한 발휘할 수 있도록 도와줄, 꼭 사용해봐야 할 혁신적인 솔루션을 확인해 보세요. XIX.AI에서 여정을 시작해 보세요.
10 도구
xix.ai
만화 창작
소년 만화를 위한 최고의 AI 생성기: 박진감 넘치는 액션 장면과 에너지 효과 만들기
XIX.AI에서 2026년 최고의 소년 만화 AI 생성기를 만나보세요. 엄선된 최고 평점 목록에는 박진감 넘치는 액션 장면과 역동적인 에너지 효과를 연출할 수 있는 강력한 도구들이 포함되어 있습니다. 실제 테스트를 통해 무료 버전과 유료 버전을 비교해 보세요. 여러분의 창의력을 마음껏 발휘하여 오늘 바로 장대한 만화를 만들어 보세요!
15 도구
xix.ai
사업
최고의 AI 경비 관리 앱: 영수증을 스캔하고 기업 경비를 자동으로 분류하세요
2026년 최신 최고의 AI 경비 관리 도구: 영수증을 스캔하고 기업 경비를 자동으로 분류해 주는 최고 평점의 도구들. 손쉬운 경비 관리, 정확한 재무 추적, 효율적인 규정 준수를 위한 강력하고 혁신적인 솔루션을 만나보세요. 무료 및 유료 옵션을 엄선하여 매주 업데이트되는 비교 자료를 통해 귀사에 딱 맞는 도구를 찾으실 수 있습니다. XIX.AI의 전문가 추천 목록으로 AI의 장점을 최대한 활용하세요.
10 도구
xix.ai
사업
최고의 AI 채용 도구: 이력서 심사 및 후보자 면접 일정 자동화
XIX.AI에서 2026년 최신 최고 평점을 받은 AI 채용 도구를 확인해 보세요. 저희가 엄선한 이 목록에는 이력서 심사 및 후보자 면접 일정 자동화를 위한 강력하고 혁신적인 솔루션이 포함되어 있습니다. 실제 테스트 결과와 매주 업데이트되는 순위를 바탕으로 무료 및 유료 옵션을 비교해 보세요. 지금 바로 귀사에 딱 맞는 채용 도우미를 찾아 채용 프로세스를 효율화하세요!
10 도구
xix.ai
의견 (0)
0/500
유명 AI 과학자 안드레이 카르파티(Andrej Karpathy)가 최근 AI 소프트웨어 공급망에 대한 표적형 포이즌 공격을 폭로하며, AI 개발자 커뮤니티에 큰 파장을 일으켰습니다. 공격의 표적은 GitHub에서 4만 개 이상의 스타를 기록하고 월간 다운로드 수가 1억 건에 달하는 인기 있는 파이썬 라이브러리 ‘litellm’입니다. 주요 AI 모델 API를 호출하는 범용 어댑터 역할을 하는 이 라이브러리의 보안 침해는 도미노 효과를 일으켜, AI 개발 툴체인 전체에 잠재적인 영향을 미칠 수 있습니다.
설치 시 감염: 악성 코드의 '보이지 않는' 작동 방식
이 공격의 은밀함은 교묘한 트리거에서 비롯됩니다. 악의적인 행위자들은 litellm의 특정 PyPI 릴리스 두 개(버전 1.82.7 및 1.82.8)에 악성 파일을 삽입했습니다. .pth 파일을 삽입했습니다.
자동 실행: 감염된 버전 중 하나를 pip install 이 감염된 버전 중 하나를 설치하기만 해도 모든 Python 프로세스가 시작될 때마다 악성 코드가 자동으로 실행됩니다. 수동으로 import하거나 함수를 호출할 필요도 없습니다. 설치가 완료되는 순간 시스템은 위험에 노출됩니다.
포괄적인 데이터 유출: 일단 활성화되면, 이 코드는 다양한 민감한 호스트 데이터를 적극적으로 수집합니다. 여기에는 SSH 키, 클라우드 인증 정보(AWS/GCP), 쿠버네티스 키, 암호화폐 지갑, 그리고 종종 귀중한 대규모 모델 API 키를 포함하는 모든 환경 변수가 포함됩니다. 탈취된 정보는 암호화되어 공격자의 원격 서버로 전송됩니다.
예상치 못한 반전: "버그"로 인해 발각된 공격자
오랫동안 발견되지 않았을 수도 있는 이 범죄는 해커 자신의 실수로 인해 좌절되었습니다. 한 개발자가 Cursor 에디터의 확장 기능을 사용하던 중 자신의 컴퓨터 메모리 사용량이 갑자기 급증하는 것을 발견했습니다.
조사 결과, 악성 코드가 프로세스 포크 폭탄(fork bomb)을 유발한 것으로 드러났습니다. 이는 지수적으로 복제되어 시스템을 순식간에 다운시키는 현상입니다. 이러한 불안정성은 보안 연구원들이 문제를 악성 패키지로 추적할 수 있게 해준 결정적인 단서가 되었습니다. 카르파티(Karpathy)는 공격자의 코드가 더 능숙하게 작성되었다면, 이 대규모 절도 사건이 여전히 진행 중일 수도 있었을 것이라고 지적했습니다.
연쇄 반응: 보안 도구가 어떻게 "칼을 든 자"가 되었는가
이번 사건은 공급망 실패가 연쇄적으로 이어진 사례를 여실히 보여줍니다. 공격 그룹인 TeamPCP는 먼저 보안 스캐닝 도구인 Trivy를 해킹했습니다. 이들은 탈취한 인증 정보를 이용해
파장은 광범위합니다. DSPy, MLflow, Open Interpreter를 포함한 2,000개 이상의 널리 사용되는 AI 도구가 이 라이브러리에 간접적으로 의존하고 있습니다. 보안 전문가들은 개발자들에게 다음 명령어를 실행하여 설치된 버전을 확인하도록 긴급히 권고합니다. pip show litellm. 버전이 1.82.7 이상인 경우, 자격 증명이 완전히 유출된 것으로 간주하고 모든 민감한 키와 토큰을 즉시 교체해야 합니다.
신형 로웨 i6, 65만 9천 위안 가격으로 출시… 스냅드래곤 8155 및 두바오 대형 모델 탑재
SAIC Roewe는 오늘 Roewe D7의 디자인 언어를 전면적으로 반영한 소형 세단인 신형 Roewe i6를 출시했다. 전면부를 가로지르는 독특한 대형 수직 그릴과 수평형 헤일로 라이트 바는 강력한 기술적 감각과 시각적 폭감을 선사한다. 후면부에는 위로 솟은 덕테일 스포일러가 전면 폭을 가득 채우는 테일라이트와 조화를 이루어 차량 전체에 더욱 젊은 느낌
자산, 건물, 그리고 건강을 어떻게 보호할 수 있을까요?
예측할 수 없는 세상에서 ‘보호’는 단순한 선택지가 아닌 전략적 필수 요소가 되었습니다. 재정을 지키든, 건물을 보강하든, 아니면 개인의 건강에 신경 쓰든, 장기적인 안정은 선제적인 계획에 달려 있습니다. 진정한 안전은 다층적으로 구축되며, 재정 관리, 구조적 복원력, 그리고 정보에 입각한 건강 관리가 서로 조화를 이루어야 비로소 실현됩니다.가장 소중한 것
AI 브라우저 ‘코멧(Comet)’, 아이패드에서 완벽한 멀티태스킹 지원 기능으로 출시
퍼플렉시티(Perplexity)의 AI 브라우저 ‘코멧(Comet)’이 iPadOS와 완벽하게 호환되는 iPad 버전을 정식 출시했습니다. 이번 업데이트를 통해 멀티 윈도우 브라우징과 멀티태스킹 지원 기능이 추가되었으며, OpenAI 및 Anthropic과 같은 주요 AI 모델과의 긴밀한 연동을 통해 더욱 지능적인 웹 경험을 제공합니다.코멧 브라우저는 사용
XIX.AI에서 2026년 최고의 AI 가격 최적화 소프트웨어를 만나보세요. 저희가 엄선한 이 목록에는 경쟁사를 추적하고 최대 수익을 위해 매장 가격을 자동으로 조정해 주는, 최고 평점을 받은 혁신적인 도구들이 포함되어 있습니다. 실제 테스트 결과를 바탕으로 무료 버전과 유료 버전을 비교해 보세요. 지금 바로 가격 경쟁력의 우위를 확보하세요.
10 도구
xix.ai
XIX.AI에서 2026년 최고의 AI 코드 검토 도구를 만나보세요. 엄선된 이 목록에는 깔끔한 코드 준수 여부를 자동으로 확인하고 레거시 리포지토리 파일을 리팩토링하는 데 있어 판도를 바꿀 만한 최고 등급의 도구들이 포함되어 있습니다. 실제 테스트 결과와 매주 업데이트되는 순위를 통해 무료 및 유료 옵션을 비교해 보세요. 지금 바로 AI의 경쟁력을 확보하세요.
10 도구
xix.ai
난독증 지원을 위해 엄선된 2026년 최신 최고 평점 AI TTS 앱을 만나보세요. 전문가들이 선정한 이 순위는 무료 및 유료 도구를 비교 분석하여, 읽기 효율과 학습 효과를 높여주는 강력한 기능들을 소개합니다. 학생들의 잠재력을 최대한 발휘할 수 있도록 도와줄, 꼭 사용해봐야 할 혁신적인 솔루션을 확인해 보세요. XIX.AI에서 여정을 시작해 보세요.
10 도구
xix.ai
XIX.AI에서 2026년 최고의 소년 만화 AI 생성기를 만나보세요. 엄선된 최고 평점 목록에는 박진감 넘치는 액션 장면과 역동적인 에너지 효과를 연출할 수 있는 강력한 도구들이 포함되어 있습니다. 실제 테스트를 통해 무료 버전과 유료 버전을 비교해 보세요. 여러분의 창의력을 마음껏 발휘하여 오늘 바로 장대한 만화를 만들어 보세요!
15 도구
xix.ai
2026년 최신 최고의 AI 경비 관리 도구: 영수증을 스캔하고 기업 경비를 자동으로 분류해 주는 최고 평점의 도구들. 손쉬운 경비 관리, 정확한 재무 추적, 효율적인 규정 준수를 위한 강력하고 혁신적인 솔루션을 만나보세요. 무료 및 유료 옵션을 엄선하여 매주 업데이트되는 비교 자료를 통해 귀사에 딱 맞는 도구를 찾으실 수 있습니다. XIX.AI의 전문가 추천 목록으로 AI의 장점을 최대한 활용하세요.
10 도구
xix.ai
XIX.AI에서 2026년 최신 최고 평점을 받은 AI 채용 도구를 확인해 보세요. 저희가 엄선한 이 목록에는 이력서 심사 및 후보자 면접 일정 자동화를 위한 강력하고 혁신적인 솔루션이 포함되어 있습니다. 실제 테스트 결과와 매주 업데이트되는 순위를 바탕으로 무료 및 유료 옵션을 비교해 보세요. 지금 바로 귀사에 딱 맞는 채용 도우미를 찾아 채용 프로세스를 효율화하세요!
10 도구
xix.ai
