事件回顾
上周,LiteLLM 的开源版本遭遇了一次严重的凭证窃取恶意软件攻击。这本身已经够糟了,但更让人后背发凉的是——负责为 LiteLLM 做安全合规认证的公司 Delve,被举报人指控伪造审计数据、使用「橡皮图章」式审计员。
LiteLLM CTO Ishaan Jaffer 本周在 X 上宣布:弃用 Delve,转用 Vanta 重新认证,并自行聘请独立第三方审计员。
为什么这事很重要
安全合规不是装饰品。对于像 LiteLLM 这样被数百万开发者依赖的 AI 网关,SOC 2 认证本该意味着「我们认真对待你的数据安全」。但如果认证本身就是假的,那它保护的不是用户,而是一种虚假的安全感。
Delve 的创始人否认了指控并提供免费重新审计,但举报人紧接着放出了更多「收据」级别的证据。信任一旦崩塌,重建的成本远比重新认证高得多。
启示
选择安全合规服务商时,别只看证书——看审计流程是否透明、审计员是否独立。尤其对于自托管 AI 基础设施,安全是底线,不是营销卖点。