LiteLLM меняет сертификацию безопасности после инцидента

Компания LiteLLM, создатель популярного AI-шлюза, используемого миллионами разработчиков, объявила о прекращении сотрудничества со стартапом по комплаенсу Delve и намерена заново пройти сертификацию безопасности с другой компанией и аудитором. Это решение последовало после того, как открытая версия платформы LiteLLM стала жертвой вредоносного ПО, похищающего учетные данные.

До инцидента LiteLLM получила два сертификата соответствия требованиям безопасности, воспользовавшись услугами стартапа Delve. Подобные сертификаты призваны подтвердить, что в компании внедрены процедуры для минимизации потенциальных инцидентов.

В адрес Delve прозвучали обвинения в том, что компания вводит клиентов в заблуждение относительно реального уровня соответствия стандартам. Её обвиняют в генерации фиктивных данных и использовании аудиторов, которые без должной проверки одобряли отчеты. Основатель Delve опроверг эти утверждения и предложил всем клиентам бесплатные повторные тесты и аудиты. Это опровержение побудило анонимного осведомителя из Delve обнародовать дополнительные доказательства, включая предполагаемые документальные подтверждения.

В понедельник технический директор LiteLLM Ишаан Джаффер заявил, что компания будет использовать для повторной сертификации конкурента Delve — платформу Vanta, а также привлечет независимого стороннего аудитора для проверки своих систем контроля соответствия. После столь сложной недели LiteLLM голосует ногами, меняя партнера.