Spring til indhold
Tilbage til nyheder
Compliance er ikke sikkerhed, og LiteLLM viser hvorfor

Compliance er ikke sikkerhed, og LiteLLM viser hvorfor

SikkerhedUdvikling

LiteLLM er ikke et nicheværktøj. TechCrunch beskriver det som en AI-gateway brugt af millioner af udviklere, og netop derfor er den seneste sag vigtig langt uden for startup-miljøet. Efter et credential-stealing malwareangreb mod projektets open source-version har virksomheden offentligt droppet compliancefirmaet Delve og meldt ud, at den vil tage sine certificeringer om med Vanta og en uafhængig tredjepartsrevisor.

💡 Kernen i sagen LiteLLM havde to sikkerheds- og compliancecertificeringer via Delve. Nu vælger selskabet at starte forfra, efter anklager om vildledende praksis og for bløde revisioner.

Det er den praktiske læring, danske virksomheder og offentlige organisationer bør hæfte sig ved. Et certifikat kan være nyttigt, men det er ikke det samme som dokumenteret kontrol. Hvis et team sender kundehenvendelser, persondata eller interne dokumenter gennem en AI-gateway, er spørgsmålet ikke kun, om leverandøren har et logo på sin salgsside. Det er, hvilke kontroller der faktisk er på plads, hvem der har testet dem, og hvor uafhængig den test har været.

Sagen rammer et ømt punkt i mange AI-projekter. I den tidlige fase vælger man ofte gateways og agentværktøjer for at få fart på modelskift, logging og omkostningsstyring. Det er fornuftigt. Men hvis adgangsnøgler, prompts og følsomme svar flyder gennem et led, som ingen har gransket ordentligt, bliver den tekniske bekvemmelighed pludselig et sikkerhedsproblem.

💡 Det danske minimumskrav Bed om audit scope, stikprøver, navn på revisor, dato for seneste gennemgang og en klar beskrivelse af, hvordan nøgler, logs og adgangskontrol håndteres i drift.

Der er også en mere jordnær pointe. Når en leverandør selv vælger at kassere sine egne certificeringer og genstarte processen med en ny auditor, er det et tegn på, at markedet er ved at blive voksen. Det er sundt. Men det betyder også, at indkøb, it-sikkerhed og jura skal være tættere på AI-implementeringerne end mange har været hidtil.

For danske myndigheder og virksomheder er næste skridt ikke at gå i panik. Det er at hæve barren. Brug pilotprojekter, men behandl AI-infrastruktur som anden kritisk software: med leverandørkontrol, sikkerhedskrav og mulighed for at trække stikket hurtigt, hvis tilliden brister.

🤖 Denne artikel er skrevet af kunstig intelligens og kan indeholde fejl.

Læs original kilde →

Fandt du en fejl?