Cosa succederebbe se gli strumenti di cui ti fidi per costruire sistemi sicuri siano proprio quelli che permettono agli attaccanti di entrare? Non è più un’ipotesi. Mercor, una startup di recruiting AI, ha appena confermato di essere stata compromessa attraverso un progetto open-source su cui dipendevano: LiteLLM. E non erano soli: migliaia di aziende sono state colpite nello stesso attacco alla catena di fornitura.
Essendo qualcuno che costruisce bot per lavoro, questo colpisce da vicino. Tutti noi utilizziamo librerie open source. Sono la base dello sviluppo moderno. Ma questo incidente rivela una verità scomoda: ogni dipendenza nel tuo package.json è una potenziale porta sul retro.
Cosa è successo a Mercor
Nel marzo 2026, Mercor ha scoperto che i suoi sistemi erano stati compromessi. Una crew di estorsione ha rivendicato la responsabilità per il furto di dati dall’infrastruttura dell’azienda. Il vettore dell’attacco? LiteLLM, un progetto open-source su cui migliaia di aziende nel campo dell’AI fanno affidamento per gestire le integrazioni dei loro modelli linguistici.
LiteLLM è esattamente il tipo di strumento che i costruttori di bot amano. Fornisce un’interfaccia unificata per lavorare con più fornitori di LLM—OpenAI, Anthropic, Cohere, e così via. Invece di scrivere codice di integrazione separato per ogni API, usi LiteLLM come uno strato proxy. È comodo, ben mantenuto e ampiamente adottato. Questa popolarità lo ha reso un obiettivo perfetto.
Quando gli attaccanti hanno compromesso il progetto LiteLLM, non hanno colpito solo un’azienda. Hanno potenzialmente guadagnato accesso a ogni sistema che aveva incorporato il codice malevolo. Mercor ha confermato di essere “una delle migliaia di aziende” interessate dalla violazione.
Perché questo è importante per i costruttori di bot
Se stai costruendo agenti AI o chatbot, stai quasi certamente utilizzando pacchetti open source per integrazione LLM, database vettoriali, gestione dei prompt o instradamento API. Ognuno di essi rappresenta una relazione di fiducia. Stai fidando che i manutentori siano chi dicono di essere, che il loro ambiente di sviluppo sia sicuro e che la loro pipeline di distribuzione dei pacchetti non sia stata dirottata.
È una grande quantità di fiducia da riporre in progetti che potrebbero essere gestiti da un pugno di volontari nel loro tempo libero.
L’incidente di Mercor dimostra quanto velocemente le cose possano andare male. I bot moderni gestiscono spesso dati sensibili—conversazioni dei clienti, chiavi API, documenti interni, dati di addestramento. Se la tua catena di dipendenze è compromessa, gli attaccanti possono estrarre quei dati, iniettare comportamenti malevoli nelle risposte del tuo bot, o utilizzare la tua infrastruttura come trampolino di lancio per ulteriori attacchi.
Il problema della catena di fornitura
Gli attacchi alla catena di fornitura non sono nuovi, ma stanno diventando più sofisticati. Gli attaccanti sanno che compromettere una libreria popolare offre loro accesso a centinaia o migliaia di obiettivi downstream. È più efficiente che attaccare ogni azienda individualmente.
La sfida è che la maggior parte di noi non ha le risorse per controllare ogni riga di codice nel nostro albero delle dipendenze. Un tipico progetto Node.js potrebbe avere centinaia di dipendenze se si contano i pacchetti transitori. I progetti Python che utilizzano pip possono essere altrettanto complessi. Stai fidando il codice scritto da sconosciuti, spesso senza alcuna revisione di sicurezza formale.
I gestori di pacchetti hanno aggiunto alcune protezioni—verifica della firma, autenticazione a due fattori per i manutentori, scansioni automatiche delle vulnerabilità. Ma queste misure non possono catturare tutto, specialmente le compromissioni zero-day in cui il codice maligno viene iniettato prima ancora che chiunque sappia di cercarlo.
Cosa puoi fare
Innanzitutto, fai un inventario delle tue dipendenze. Sappi cosa stai utilizzando e perché. Rimuovi i pacchetti che non ti servono realmente. Ogni dipendenza che elimini è un vettore d’attacco potenziale in meno.
In secondo luogo, fissa le tue versioni. Non tirare automaticamente l’ultima versione di ogni pacchetto. Usa file di blocco e rivedi gli aggiornamenti prima di implementirli. Sì, questo crea più lavoro. Ma ti dà anche l’opportunità di accorgerti di cambiamenti sospetti prima che raggiungano la produzione.
In terzo luogo, monitora gli avvisi di sicurezza. Imposta notifiche per i pacchetti su cui fai affidamento. Quando vengono divulgate vulnerabilità, devi sapere immediatamente.
In quarto luogo, considera di utilizzare strumenti che scansionino le tue dipendenze per vulnerabilità note. Dependabot di GitHub, Snyk e servizi simili possono automaticamente segnalare pacchetti problematici. Non sono perfetti, ma catturano problemi ovvi.
Infine, progetta i tuoi sistemi assumendo che le dipendenze potrebbero essere compromesse. Usa il principio del minimo privilegio. Isola le operazioni sensibili. Implementa monitoraggio in grado di rilevare comportamenti insoliti anche se provengono da codice “fidato”.
Il quadro generale
La violazione di Mercor è un campanello d’allarme. L’open source è straordinario—accelera lo sviluppo e consente la collaborazione su larga scala. Ma crea anche rischi sistemici. Come costruttori di bot, dobbiamo essere più riflessivi su ciò che stiamo incorporando nei nostri progetti.
Questo non riguarda l’abbandono dell’open source. Riguarda l’uso saggio. Tratta le dipendenze come codice non fidato fino a prova contraria. Costruisci difese che assumano compromissioni. E rimani informato sulla postura di sicurezza dei progetti su cui fai affidamento.
Perché il prossimo attacco alla catena di fornitura è già in fase di pianificazione. E le tue dipendenze potrebbero essere il bersaglio.
🕒 Published: