AI基盤OSSへのサプライチェーン攻撃
2026年3月31日、AI採用スタートアップのMercorが、依存するオープンソースプロジェクト「LiteLLM」の侵害を起点としたサイバー攻撃を受けたことを公表した。悪名高いハッキンググループLapsus$が犯行声明を出し、データの窃取を主張している。
LiteLLMは、複数のLLM APIを統一インターフェースで利用するためのゲートウェイライブラリだ。OpenAI、Anthropic、Google、Azure OpenAIなど主要なLLMプロバイダに対応し、企業のAIインフラの中核コンポーネントとして広く採用されている。このような基盤OSSが侵害されたことの意味は重い。
攻撃の経路と影響
攻撃はLiteLLMのコードベースまたは配布チャネルが侵害され、依存するMercorのシステムに不正なコードが注入されるという典型的なサプライチェーン攻撃のパターンをとった。Mercor社のシステムへの不正アクセスが確認され、データが流出した。
皮肉なことに、わずか1日前(3月30日)にはTechCrunchが「LiteLLMが物議を醸すスタートアップDelveとの関係を断ち切った」と報じたばかりだった。ガバナンスの問題が表面化した直後のセキュリティインシデントは、OSSプロジェクトの管理体制への疑問をさらに深める。
AI時代のサプライチェーンリスク
今回の事件は、AIシステムのサプライチェーンが従来のソフトウェアと同様——あるいはそれ以上に——脆弱であることを示した。LLMアプリケーションは複数のライブラリ(プロンプト管理、API統合、RAG、エージェントフレームワーク)に依存しており、そのどれか1つが侵害されれば全体に影響が波及する。
先日arXivに投稿された「Architecting Secure AI Agents」(arXiv:2603.30016)が指摘するように、AIエージェントのセキュリティは「モデルの堅牢性」だけでなく「システム全体のアーキテクチャ」として設計されなければならない。間接プロンプトインジェクション、モデルの暴走、そしてサプライチェーン攻撃——脅威は多層的であり、防御も多層的でなければならない。
OSSエコシステムへの警告
MCP(Model Context Protocol)のダウンロードが9700万を突破し、AIエージェントのインフラとしてのOSSエコシステムが急速に拡大している。その成長速度に、セキュリティ監査のリソースが追いついていない。
LiteLLMの侵害は、SolarWindsやLog4jと同様の「広く依存されるOSSの単一障害点」パターンだ。AI企業は自社のLLM APIキー、顧客データ、推論パイプラインを、依存ライブラリのセキュリティに事実上委ねている。今回のインシデントは、その構造的リスクが理論上の懸念から現実の被害に変わった転換点として記録されるだろう。
Deep Signal文脈——AIインフラの攻撃面拡大
LiteLLM事件は、Deep Signalが追ってきた「AIエージェントのセキュリティ」という文脈の中で、最も深刻な実害を伴うケースだ。MetaのAIエージェント暴走事件がガバナンスの不備を露呈させ、arXiv論文「Architecting Secure AI Agents」がシステムレベルの防御設計を提唱したのとほぼ同時期に、サプライチェーンという第三の攻撃面が現実化した。
Anthropicのソースコード流出も含め、2026年3月はAI業界のセキュリティ意識が試された月だった。モデルの安全性(alignment)に注力するあまり、従来型のソフトウェアセキュリティ——依存関係管理、コードレビュー、パッケージング——が疎かになっている構造的問題が浮き彫りになった。エージェントが実世界のタスクを実行する時代において、攻撃面は「プロンプト」「コード」「サプライチェーン」の3層に拡大している。
