2026年3月、LLM統合ライブラリ「LiteLLM」のPyPI(Pythonパッケージリポジトリ)公開用トークンがAqua Securityの管理するGitHub Actionsワークフローの侵害を通じて漏洩し、バックドアを仕込まれた悪意あるパッケージ版が約3時間で47,000回ダウンロードされていたことが判明しました。AIエコシステムのサプライチェーン脆弱性を示す事例として業界に衝撃を与えています。
今回の攻撃の起点はパッケージ本体ではなく、CI/CD(継続的インテグレーション・デリバリー)パイプラインでした。セキュリティ企業Aqua SecurityがLiteLLMの品質検証に使用していたGitHub Actionsのワークフローが攻撃者に侵害され、PyPI公開権限を持つトークンが漏洩。攻撃者はこのトークンを利用してバックドアを含む偽のLiteLLMパッケージをPyPI上に公開したとされています。
LiteLLMはAnthropicのClaude、OpenAIのGPT、GoogleのGeminiなど100以上のLLMを統一APIで呼び出せるライブラリで、AIエージェント開発者の間で広く採用されています。正規パッケージに紛れたバックドア版が3時間という短時間で4.7万件ダウンロードされた事実は、AIエコシステムの普及速度がいかに速く、サプライチェーンリスクを拡大しているかを示しています。
X(旧Twitter)ではセキュリティ研究者が「AIエコシステムのサプライチェーンがいかに脆弱か露呈した。GitHub Actions経由のトークン漏洩が今や最大リスクの一つ」と警鐘を鳴らしています。Hacker Newsでは「PyPIのセキュリティモデルの限界を露呈した事件。ビルドシステムへのトークン保管方法の見直しが急務」と根本的な設計課題を指摘するコメントが注目を集めました。Reddit(r/netsec)では「LiteLLMを使うプロジェクトは即バージョン確認を。3時間で4.7万DLは深刻な被害規模」と実務的な対応を促す声が上がっています。
今回のインシデントは、AIフレームワークのサプライチェーンが従来のソフトウェアエコシステムと同じ——あるいはそれ以上の——脆弱性を抱えていることを示しています。LLMを使う開発者にとって、依存ライブラリのハッシュ検証、CI/CDシークレットの最小権限管理、PyPIのAPIトークンのスコープ制限といった対策は今や「基本衛生」として欠かせないものとなっています。