AIサプライチェーンの脆弱性:LiteLLMを標的としたMercorのセキュリティインシデント分析
攻撃ベクトルの分析:オープンソースライブラリの脆弱性と信頼境界
2026年4月現在、AI開発エコシステムにおいてLLMプロキシや抽象化レイヤーの利用は標準化されているが、本件は「依存関係の信頼」がもたらす致命的なリスクを浮き彫りにした。攻撃者はAI採用プラットフォームであるMercorが利用していたオープンソースツール「LiteLLM」の依存関係を標的にし、サプライチェーン攻撃を成功させた。
技術的側面として、この攻撃は典型的な「Dependency Confusion(依存関係の混乱)」あるいは「Typosquatting(タイポスクワッティング)」に近い手法、もしくは信頼されたパッケージリポジトリへの悪意あるコードの注入によって実行された。LLMアプリケーションでは、モデル推論の抽象化(例:OpenAI GPT-5.4やAnthropic Claude Sonnet 4.6への動的な切り替え)を行う際にこのようなミドルウェアが不可欠となるが、現在のCI/CDパイプラインにおいては、これら外部ライブラリの完全性検証(Checksum検証やSBOMの活用)が依然としてボトルネックとなっている。
LLMスタックにおけるリスク管理のパラダイムシフト
AIアプリケーションの開発スタックは、従来のソフトウェア開発と比較して、推論API呼び出しという外部依存関係がコアロジックの大部分を占める。今回のインシデントは、以下の技術的課題を提起している。
-
プロキシ層の脆弱性: LiteLLMのようなツールは、単なるAPIゲートウェイ以上の権限(モデルルーティングやAPIキー管理)を保持する。ここが侵害されると、機密性の高いプロンプトデータやAPI認証情報が流出するリスクが極めて高い。
-
実行環境の分離: 最新のLlama 4やGPT-5.4のような大規模モデルを活用する際、計算リソースと推論処理を完全に分離し、サンドボックス環境で動作させる「隔離アーキテクチャ」の再定義が必要である。
-
SBOM(Software Bill of Materials)のAI対応: ソフトウェア部品表には、ライブラリ名だけでなく、推論時に使用する特定のモデルバージョン、ファインチューニングの重みデータ元、および使用する推論プロキシのバージョンを含める動的なSBOM管理が求められる。
開発者向けインサイト:安全なAIインフラ構築に向けて
-
依存関係の厳格なバージョン・ピンニングと監査: 外部ライブラリ(LiteLLM等)の依存関係に対し、単なるパッケージ名指定ではなく、ハッシュ値による厳格なバージョン・ピンニングを実施すること。また、自動化された依存関係スキャンツールをCIパイプラインに組み込み、既知の脆弱性だけでなく、最近更新されたパッケージの「信頼性スコア」を監視する体制を構築すべきである。
-
APIキー管理の再設計(ゼロトラスト推論): 推論プロキシを一箇所に集中させるのではなく、モデルエンドポイントごとに個別のクレデンシャルを割り当て、ローテーションを自動化する。また、プロキシ自体が侵害された場合に備え、推論リクエストにペイロードサイズ制限や異常なトークン消費を検知するサイドカープロキシを配置し、防御層を多重化する設計が有効である。
-
モデル推論の「入力・出力」サニタイズの徹底: 今回の攻撃事例に関わらず、LLM開発者は「Model Input/Output」をコードベースの信頼できない外部データとして扱う必要がある。プロキシ経由で送られるすべてのプロンプトに対して、機密情報(PII)のフィルタリングと、悪意あるプロンプト注入(Jailbreak対策)のインラインチェックを、推論サーバーの前段で完結させるアーキテクチャへの移行を推奨する。
