News KI Recht & Sicherheit Technologie & Innovation Unternehmen & Strategie

„Vollständig kompromittiert“: Wie der LiteLLM-Angriff Ihren KI-Stack trifft

Markus Seyfferth
Markus Seyfferth
Autor Dr. Web
3 Min. Lesezeit
„Vollständig kompromittiert": Wie der LiteLLM-Angriff Ihren KI-Stack trifft

„Sehr wahrscheinlich vollständig kompromittiert“, sagt der Sicherheitsforscher über den Autor der populären LiteLLM-Bibliothek. Stellen Sie sich vor, das harmlose Python-Paket, das Sie gestern geupdated haben, schreibt heimlich Ihre SSH-Schlüssel auf den Server eines Angreifers.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Das Wichtigste in Kürze

  • Die KI-Proxy-Bibliothek LiteLLM wurde über PyPI mit Schadsoftware infiziert
  • Betroffen sind die Versionen 1.82.7 und 1.82.8 vom 24. März 2026
  • Die Schadsoftware stiehlt SSH-Schlüssel, Cloud-Credentials und Datenbank-Passwörter
  • Sie verbreitet sich aktiv in Kubernetes-Clustern und richtet Hintertüren ein

Was ist passiert?

Orangefarbene Keramikschlange mit einem goldenen Etikett auf weißem Hintergrund
Sicherheitsforscher entdeckt kompromittierte Versionen 1.82.7 und 1.82.8 der KI-Bibliothek LiteLLM vom 24. März 2026 ohne offizielle GitHub-Freigabe

Der Vorfall wurde von Sicherheitsforscher Callum McMahon von Futuresearch entdeckt. Am 24. März 2026 wurden die Versionen 1.82.7 und 1.82.8 der Open-Source-Bibliothek LiteLLM kompromittiert, ohne dass es eine entsprechende Freigabe im offiziellen GitHub-Repository gegeben hätte. LiteLLM ist ein populärer Proxy für KI-Sprachmodell-APIs und wird in tausenden KI-Stacks weltweit eingesetzt.

Die Schadsoftware stiehlt SSH-Schlüssel, Cloud-Zugangsdaten, Datenbank-Passwörter und Kubernetes-Konfigurationen. Sie verschlüsselt diese Informationen und schickt sie an einen fremden Server. Zusätzlich verbreitet sie sich in Kubernetes-Clustern und richtet dort dauerhafte Hintertüren ein. Entdeckt wurde der Angriff zufällig, als das Paket innerhalb des Code-Editors Cursor abstürzte.

Wer ist betroffen?

Gestapelte, beschriftete Boxen; die unterste, kaputte Box lässt orange Flüssigkeit auf eine Ente laufen
Kompromittierte LiteLLM-Versionen seit März 2026 ermöglichen Vollzugriff auf Systeme, besonders in CI/CD-Pipelines ohne Versionsfestlegung

Die Reichweite ist beträchtlich. Wer die kompromittierten Versionen seit dem 24. März 2026 installiert oder als Abhängigkeit im Build-Prozess gezogen hat, sollte vom Vollkompromiss ausgehen. Das gilt insbesondere für CI/CD-Pipelines, in denen LiteLLM ohne Pinning auf eine bestimmte Version läuft.

Der Schaden kaskadiert. Wenn ein Angreifer SSH-Schlüssel hat, kommt er in andere Systeme. Wenn er Cloud-Credentials hat, kann er in Cloud-Konten wechseln. Wer LiteLLM in einem Kubernetes-Cluster betreibt, hat es mit lateraler Verbreitung zu tun, also nicht nur mit einer Kompromittierung des einen Pods.

KI-Stacks sind die neuen Supply-Chains. Wer 2026 Python-Pakete ohne Versions-Pinning und ohne Hash-Verifikation einsetzt, baut sich seine eigene Backdoor. Cursor hat den Angriff zufällig durch einen Absturz aufgedeckt, das nächste Mal wird es lautlos sein.

— Michael Dobler, Herausgeber Dr. Web

Was sollten Administratoren sofort tun?

Kleiner oranger Feuerlöscher mit rotem Anhänger auf Betonwürfel vor weißem Hintergrund
Vier Sofortmaßnahmen gegen LiteLLM-Schwachstelle: Zugangsdaten wechseln, Kubernetes-Cluster prüfen, Pods neu ausrollen, Build-Pipelines sichern

Vier Sofortmaßnahmen.

Erstens: Alle Zugangsdaten wechseln, die auf Systemen mit den betroffenen LiteLLM-Versionen lagen. Das umfasst SSH-Schlüssel, Cloud-Credentials, Datenbank-Passwörter und Kubernetes-Service-Accounts.

Zweitens: Kubernetes-Cluster auf laterale Verbreitung der Schadsoftware prüfen und alle Pods neu ausrollen.

Drittens: Build-Pipelines auf Versions-Pinning umstellen, idealerweise mit Hash-Verifikation.

Viertens: NVIDIAs AI-Director Jim Fan empfiehlt, Abhängigkeiten zu minimieren und stattdessen schlanke Eigenlösungen zu bauen.

Der Vorfall reiht sich ein in eine Serie aktueller Supply-Chain-Angriffe. Die Geschwindigkeit, mit der KI-Agenten Schwachstellen finden, hat das Tempo der Angriffe drastisch erhöht. Manuelle Audits reichen nicht mehr aus.

Welche strukturellen Lehren sind zu ziehen?

Lego-Turm mit IT-Begriffen, daneben Figur mit Schlüssel bei „LiteLLM-Proxy“
KI-Stack-Sicherheit ist Supply-Chain-Sicherheit. Code-Editoren wie Cursor sind Angriffsvektoren. Kompromittierte Agenten ermöglichen täuschende Kontoimitation

Drei Punkte.

Erstens: KI-Stack-Sicherheit ist kein Spezialthema, sondern Teil der allgemeinen Supply-Chain-Sicherheit.

Zweitens: Code-Editoren wie Cursor sind nicht nur Produktivitätswerkzeuge, sondern auch Angriffsvektoren. Wer einen kompromittierten Agenten betreibt, kann auf allen verbundenen Konten täuschend echt imitiert werden.

Drittens: Die Branche braucht Zertifizierungs- und Signierungsstandards für KI-relevante Pakete, ähnlich wie sie sich im Linux-Distributions-Ökosystem etabliert haben.

Was sollten IT-Leiter in der Folge prüfen?

Altes Vorhängeschloss an Kette, Holzsplitter im Schlüsselloch, isoliert auf weiß
SBOM-Inventur durchführen, Notfall-Übungen für KI-Pakete trainieren und Abhängigkeiten von Drittanbieter-Paketen überprüfen

Drei Empfehlungen.

Erstens: SBOM-Inventur. Welche KI-Pakete laufen in Ihrer Infrastruktur, in welcher Version, mit welcher Hash-Prüfung?

Zweitens: Notfall-Übung. Wenn morgen ein populäres KI-Paket kompromittiert wird, wie schnell können Sie alle betroffenen Systeme identifizieren und Credentials rotieren?

Drittens: Strategische Frage. Lohnt sich die Abhängigkeit von vielen kleinen Drittanbieter-Paketen, oder sollten kritische Funktionen intern entwickelt werden?

Mehr Newshunger?

KI-Servergehäuse mit steckendem Schlüssel und Notiz „Wir sind dann mal weg“
Neun Jahre alter Linux-Kernel-Bug wird aktiv ausgenutzt; Claude findet nicht jede Sicherheitslücke
Quellen

The Decoder – LiteLLM-Bibliothek mit Schadsoftware infiziert über PyPI – https://the-decoder.de/kuenstliche-intelligenz-news/ – besucht am 08.05.2026

Futuresearch – Compromise of LiteLLM versions 1.82.7 and 1.82.8 – https://futuresearch.ai/ – besucht am 08.05.2026

4,2 10 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?

Artikel teilen
X LinkedIn Facebook XING WhatsApp E-Mail
Empfohlene Artikel
News
Bose SoundTouch streamt wieder. Wie? Mit dieser App.
4 Min.  ·  21. Mai. 2026
News
Schaeffler holt hunderte Humanoide in die Werke. Bis 2030.
3 Min.  ·  12. Mai. 2026
News
Bose dreht das Streaming bei Soundtouch ab. Lautsprecher für 800 Euro: tot.
3 Min.  ·  12. Mai. 2026
News
DuckDuckGo macht die KI-freie Suche zum Standard: Wer profitiert?
3 Min.  ·  2. Juni. 2026
News
Bose Soundtouch: Was Kunden rechtlich wirklich noch durchsetzen können
5 Min.  ·  16. Mai. 2026
Markus Seyfferth
Autor
Markus Seyfferth
ist seit 2019 geschäftsführender Gesellschafter von Dr. Web. Er verantwortet die redaktionelle Ausrichtung des Dr. Web Magazins und bringt seine Expertise in den Bereichen Webdesign, Webentwicklung, WordPress, SEO sowie Online Marketing ein. Zudem verfasst er regelmäßig Fachartikel, um sein Wissen und seine Erfahrungen zu teilen und anderen im Online Marketing weiterzuhelfen.
783 Artikel veröffentlicht
www.drweb.de
Alle Artikel

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Wie eine HTML-first-Website die Besucherzahlen über Nacht verdoppelte

Wie eine HTML-first-Website die Besucherzahlen über Nacht verdoppelte

Markus Seyfferth

Ein Versorger ersetzte ein schweres React-Formular durch eine schlichte HTML-Seite und verdoppelte über Nacht die Zahl der abgeschlossenen Anträge. Der Fall zeigt, wie viel...

Mehr erfahren
Newsletter

Mehr solcher Artikel?
Jetzt kostenlos abonnieren.

Jeden Dienstag die besten Artikel aus dem Dr. Web-Magazin direkt in Ihr Postfach – kein Spam, jederzeit abmeldbar.

Einmal pro Woche, kein täglicher Spam
Jederzeit mit einem Klick abmeldbar
DSGVO-konform via Brevo