LiteLLM rompt avec la startup controversée Delve après une attaque par malware

LiteLLM, l'un des outils les plus recherchés pour router les requêtes vers les modèles de langage, a annoncé la fin de sa coopération avec la startup Delve — dans un contexte d'incident grave de sécurité et de pression communautaire. LiteLLM a utilisé Delve pour obtenir deux certificats de conformité de sécurité. Ces certificats sont importants pour les clients d'entreprise : ils attestent de la maturité des processus et de la conformité à des normes comme SOC 2 ou ISO.

Cependant, la semaine dernière, LiteLLM a été victime d'une attaque par malware qui a volé des identifiants — l'un des types de menaces les plus dangereux, car il donne aux attaquants un accès direct aux systèmes et aux secrets. Delve — une startup spécialisée dans les audits de sécurité accélérés — est depuis longtemps source de controverse dans la communauté technologique. Les critiques pointent du doigt les pratiques de marketing agressives et la rigueur douteuse des certifications qu'elle délivre.

L'incident de LiteLLM a intensifié ces préoccupations : une entreprise qui était censée aider ses clients à sembler sûrs s'est retrouvée associée à un partenaire au moment d'une grave compromission. LiteLLM est largement utilisé dans l'industrie comme une couche proxy entre les applications et des dizaines de modèles de langage — d'OpenAI et Anthropic aux solutions open-source. À travers lui circulent les requêtes de clients d'entreprise, de startups et de développeurs du monde entier, ce qui rend toute vulnérabilité dans son infrastructure un problème potentiellement massive.

L'équipe de LiteLLM n'a pas divulgué les détails sur l'ampleur de la fuite de données et sur le fait que les utilisateurs finaux ont été affectés. Cependant, la décision de rompre publiquement les liens avec Delve suggère que la direction considère ce choix de partenariat comme un risque réputationnel et opérationnel. Cette histoire montre clairement la vulnérabilité de la chaîne d'approvisionnement en infrastructure d'IA.

Les outils intermédiaires, comme les gateways d'IA, deviennent des nœuds critiques — et toute faiblesse dans leur écosystème de partenaires se transforme immédiatement en risque pour tous ceux qui en dépendent.