Letzte Woche hatte ich über den Supply-Chain-Angriff auf LiteLLM berichtet — Credential-stehlende Malware hatte das beliebte KI-Gateway auf PyPI kompromittiert. Jetzt gibt es ein Nachbeben, das die Geschichte noch größer macht.
LiteLLM wechselt den Compliance-Anbieter
LiteLLM-CTO Ishaan Jaffer hat am Montag öffentlich bekannt gegeben, dass sein Unternehmen die Zusammenarbeit mit dem Compliance-Startup Delve beendet. Stattdessen wird LiteLLM seine Sicherheitszertifizierungen über Delve-Konkurrent Vanta neu ausstellen lassen und einen unabhängigen Auditor für die Prüfung einsetzen.
Das klingt erstmal nach einer normalen Business-Entscheidung. Aber der Hintergrund ist brisant.
Der Whistleblower
Ein anonymer Whistleblower, der unter dem Namen ‘DeepDelver’ auftritt, wirft Delve vor, die Compliance-Prüfungen seiner Kunden gefälscht zu haben. Die Vorwürfe: generierte Fake-Daten und Auditoren, die Berichte einfach durchgewunken hätten. Als Belege präsentierte der Whistleblower ein Video und Slack-Nachrichten.
Delve-CEO Karun Kaushik hat die Vorwürfe bestritten und allen Kunden kostenlose Nachprüfungen angeboten. Aber der Schaden scheint angerichtet — LiteLLM ist der erste prominente Kunde, der öffentlich abspringt.
Warum das für Entwickler wichtig ist
Die Geschichte zeigt ein strukturelles Problem: Wenn das Unternehmen, das deine Sicherheits-Compliance prüft, selbst fragwürdig arbeitet, bringt dir das beste Zertifikat nichts. Millionen von Entwicklern nutzen LiteLLM als Gateway zu verschiedenen KI-Modellen. Dass die Compliance-Infrastruktur dahinter möglicherweise auf wackeligen Füßen stand, ist beunruhigend.
Für die Open-Source-Community ist das ein Weckruf. Supply-Chain-Sicherheit endet nicht beim Code — sie umfasst die gesamte Kette, einschließlich der Unternehmen, die Sicherheitsaudits durchführen.
Quellen: