Qué pasó
El paquete LiteLLM v1.82.8 disponible en PyPI fue comprometido con malware diseñado para robar credenciales de los usuarios. Este malware se activaba al instante de instalar el paquete, lo que pone en riesgo datos sensibles.
Qué trae de nuevo
La situación se originó a raíz de un ataque a Trivy, una herramienta de escaneo de seguridad. Los atacantes usaron credenciales robadas para subir la versión comprometida del paquete, que es popular entre los desarrolladores de inteligencia artificial por facilitar el uso de modelos de lenguaje en sus aplicaciones.
Cómo se compara
LiteLLM se presenta como una alternativa más sencilla para la implementación de inteligencia artificial en Python, brindando acceso a modelos pre-entrenados. Sin embargo, después de este incidente, su seguridad se ve comprometida en comparación con otras opciones más reconocidas, como Transformers de Hugging Face y GPT-4 de OpenAI.
Qué significa para ti
Si eres desarrollador, es crucial verificar siempre la integridad de los paquetes que instalan. El uso de herramientas de escaneo de vulnerabilidades, como Trivy, es recomendable para proteger tus proyectos y datos. Para emprendedores, educar a los empleados sobre los riesgos de instalar software de fuentes no verificadas es fundamental. Revisa tus sistemas para detectar instalaciones previas de LiteLLM y cambia tus credenciales si hay sospecha de compromiso.
¿Cómo probarlo?
No es recomendable probar LiteLLM en este momento debido a su estado comprometido. Alternativas como Hugging Face Transformers o GPT-4 son más seguras y no presentan este tipo de riesgo.