공격자 그룹 TeamPCP가 LiteLLM CI/CD 파이프라인의 취약한 Trivy 스캐너를 통해 PyPI 게시 토큰을 탈취하고 3단계 악성 패키지를 3시간 동안 배포하여 다수의 LLM API 키 유출

Context

기존 애플리케이션 보안에서는 모니터링 도구가 위협 모델 밖에 있다고 가정한다. 그러나 AI agent observability SDK는 모든 agent 동작과 LLM provider 사이의 critical path에 위치한다. 이 SDK는 read access로 모든 프롬프트, completion, function call 인자, API 키에 접근한다. LiteLLM은 OpenAI, Anthropic, Azure, Google 등 여러 provider에 대한 unified gateway 역할을 하여 하나의 침해로 모든 provider 자격 증명에 접근 가능하다.

Technical Solution

• [LiteLLM] → [버전 1.82.7, 1.82.8 확인] 및 즉시 제거하고 정상 버전으로 대체
• [영향받은 환경] → [OpenAI, Anthropic, Azure 등 모든 LLM provider API 키 로테이션]
• [Kubernetes 클러스터] → [자격 증명 감사 및 측면 이동 징후 점검]
• [AI tooling 의존성] → [검증된 버전으로 pinning 및 artifact signing 검증 구현]
• [거버넌스 강화 레이어] → [in-process instrumentation과 구조적으로 분리된 외부 인프라 레이어로 분리]

Impact

공격 대상 3개(Trivy, KICS/AST, LiteLLM), 악성 패키지 배포 시간 3시간

Key Takeaway

AI agent observability SDK는 passive logger가 아니라 middleware로, 침해 시 agent stack의 모든 자격 증명과 세션 히스토리가 노출된다. 도구를 모니터링하는 enforcement layer는 해당 도구와 동일한 trust domain에 위치해서는 안 된다.