Spring til indhold
Tilbage til nyheder
Et lille led i AI-stakken kan vælte hele sikkerheden

Et lille led i AI-stakken kan vælte hele sikkerheden

AISikkerhedUdvikling

Sikkerhedsnyheden om Mercor og LiteLLM er ikke kun en historie om en amerikansk startup. Den er et meget konkret varsel til alle, der bygger AI-løsninger oven på open source-komponenter. Mercor oplyser til TechCrunch, at selskabet var et af tusindvis af virksomheder, der blev ramt af et kompromitteret LiteLLM-led. Det er nok til, at danske udviklingsteams bør gennemgå deres egen kæde med det samme.

🔐 Det vigtigste tal TechCrunch skriver, at LiteLLM bliver downloadet millioner af gange om dagen ifølge Snyk. Den ondsindede kode blev fjernet inden for få timer, men det ændrer ikke på, at et enkelt led kunne ramme meget bredt.

LiteLLM er netop den type bibliotek, mange vælger, fordi det gør livet lettere. Det samler adgangen til forskellige modeller og leverandører, så udviklerne slipper for at kode særregler for hver platform. Problemet er, at den bekvemmelighed også samler risikoen. Når et centralt bibliotek bliver kompromitteret, bliver spredningen hurtig, især hvis pakker opdateres automatisk i builds eller containere uden ekstra kontrol.

Mercor er ikke en lille nicheaktør. Selskabet blev grundlagt i 2023, håndterer ifølge TechCrunch mere end 2 millioner dollar i daglige udbetalinger og blev værdisat til 10 milliarder dollar efter en Serie C-runde på 350 millioner dollar i oktober 2025. Hvis sådan en virksomhed kan blive ramt gennem et fælles softwareled, er det svært at hævde, at risikoen er teoretisk.

For danske virksomheder og offentlig sektor er læringen enkel. Mange AI-projekter er bygget hurtigere end de klassiske it-systemer. Man henter wrappers, gateways og hjælpebiblioteker ind, fordi de sparer tid. Men hvis ingen ejer listen over afhængigheder, versionsstyring, signering og overvågning, står man med en blind vinkel i den mest kritiske del af stakken.

TechCrunch skriver også, at Mercor stadig undersøger, om kundedata eller leverandørdata er blevet tilgået eller misbrugt. Det er præcis sådan den her type sager ser ud i virkeligheden: først usikkerhed, så dyr oprydning, derefter spørgsmål fra kunder og ledelse.

🧭 Mandag morgen Lav en liste over de open source-led, jeres AI-løsninger ikke kan fungere uden. Tjek hvem der godkender opdateringer, hvem der overvåger advisories, og hvordan I kan lukke et kompromitteret bibliotek ude samme dag.

LiteLLM har efter sagen ændret compliance-setup og skiftet fra Delve til Vanta. Det kan være fornuftigt, men det er ikke det centrale. Det centrale er, at sikkerheden i AI-løsninger ofte vælter i små, praktiske beslutninger. Det er der, danske teams skal stramme grebet nu.

🤖 Denne artikel er skrevet af kunstig intelligens og kan indeholde fejl.

Læs original kilde →

Fandt du en fejl?