Исследователи Obsidian Security раскрыли критическую цепочку уязвимостей в LiteLLM — популярном open-source AI-шлюзе, который предоставляет единый OpenAI-совместимый интерфейс к более чем сотне провайдеров моделей. По оценке Obsidian, полная цепочка тянет на CVSS 9.9: обычный внутренний пользователь прокси мог поднять права до администратора, выполнить код на сервере и получить доступ к секретам, промптам и ответам, проходящим через шлюз.

Исправления вошли в LiteLLM v1.83.14-stable, опубликованный 2 мая. Первая проблема, CVE-2026-47101, связана с обходом авторизации. Когда пользователь создаёт виртуальный API-ключ, LiteLLM сохранял переданное поле allowed_routes без достаточной проверки роли. В результате низкопривилегированный пользователь мог выписать ключ с wildcard-доступом /* и попасть на административные маршруты.

Дальше открывались две ветки атаки. CVE-2026-47102 позволяла через /user/update изменить собственную роль на proxy_admin, потому что endpoint не ограничивал редактируемые поля. Третья уязвимость, CVE-2026-40217, затрагивала Custom Code Guardrail: Python-код, предназначенный для администраторских проверок, исполнялся через exec() так, что злоумышленник мог добраться до встроенных функций вроде __import__, open и eval. Этого было достаточно для запуска системных команд и reverse shell.

Особая опасность LiteLLM в том, что он стоит на критическом пути между приложениями, агентами и моделями. Компрометация сервера раскрывает master key, salt key для расшифровки сохранённых учётных данных, database URL и ключи провайдеров — OpenAI, Anthropic, Gemini, Bedrock, Azure и других. Если через шлюз проходят пользовательские запросы, исходный код, внутренние тикеты или персональные данные, они также оказываются в зоне риска.

Obsidian отдельно показала более тонкий сценарий: атакующий может не только читать данные, но и менять ответы модели на лету через callback-механизм LiteLLM. В демонстрации компрометированный прокси подменял ответ Claude Code на фальшивый tool call и обходил контекст проверки безопасности, добиваясь выполнения команды на машине разработчика. Администраторам LiteLLM стоит срочно обновиться, проверить, кто имеет доступ к управлению ключами и guardrails, отозвать потенциально скомпрометированные секреты и рассматривать AI-шлюз как полноценный компонент критической инфраструктуры.

Источник: The Hacker News, 15 июня 2026