Ataque à cadeia de suprimentos do LiteLLM — chaves API de IA e credenciais cloud comprometidas
Indústria 30 de Março de 2026

O incidente do LiteLLM: Um alerta para a segurança da infraestrutura AI

O ataque à cadeia de suprimentos do LiteLLM comprometeu chaves API da OpenAI, Anthropic e Azure em 36% dos ambientes cloud. A Flintworks não foi afetada — saiba o que aconteceu e por que a segurança da infraestrutura AI importa.

Em 24 de março, um grupo de atacantes conhecido como TeamPCP publicou duas versões com backdoor do LiteLLM — uma das bibliotecas proxy de IA mais utilizadas no ecossistema Python — no PyPI. No que está sendo considerado o maior ataque à cadeia de suprimentos na história da IA, qualquer pessoa que instalou a versão 1.82.7 ou 1.82.8 durante uma janela de três horas implantou sem saber um ladrão de credenciais direcionado a chaves API da OpenAI, Anthropic, Azure, credenciais cloud, chaves SSH e segredos do Kubernetes.

O que é o LiteLLM e por que importa?

O LiteLLM é um gateway de IA que fica entre suas aplicações e os provedores de LLM. Por design, ele tem acesso a cada chave API que você configura. Está presente em aproximadamente 36% dos ambientes cloud e é baixado 3,4 milhões de vezes por dia. Comprometer esta única biblioteca deu aos atacantes um caminho direto para as credenciais mais sensíveis da infraestrutura AI.

Como aconteceu?

O ataque foi um comprometimento em cascata da cadeia de suprimentos. Primeiro, os atacantes envenenaram o Trivy — um popular scanner de segurança open source — reescrevendo tags Git em seu repositório de GitHub Actions. Quando o pipeline CI/CD do LiteLLM executou o Trivy como parte do processo de build, o scanner comprometido exfiltrou o token de publicação do PyPI do mantenedor. Com esse token, o TeamPCP publicou as versões com backdoor diretamente no PyPI.

O payload: um ataque em três estágios

O código malicioso implantou um coletor de credenciais varrendo chaves SSH, credenciais cloud, arquivos .env e carteiras de criptomoedas; um kit de movimento lateral no Kubernetes implantando pods privilegiados em cada nó; e um backdoor persistente via systemd para acesso remoto contínuo. Todos os dados roubados foram criptografados e exfiltrados para um domínio que imitava a infraestrutura legítima do LiteLLM.

A Flintworks não foi afetada

Não usamos o LiteLLM em nossa infraestrutura. Nos conectamos a provedores LLM diretamente ou através de gateways confiáveis como o Amazon Bedrock — não dependemos de camadas proxy open source de terceiros que concentrem todas as credenciais em um único ponto de falha. Este incidente reforça por que escolher sua infraestrutura AI com cuidado e gerenciar sua segurança não é algo que você queira deixar ao acaso.

O panorama geral

Este ataque é um alerta para todo negócio que executa IA em produção. Se sua equipe instalou pacotes sem versões fixas, se seu pipeline CI/CD baixa dependências sem verificação, ou se você não sabe exatamente quais bibliotecas de IA estão rodando em seu ambiente — você pode estar mais exposto do que imagina. A segurança da infraestrutura AI não é opcional. É fundamental.

Voltar para Notícias