知名AI网关初创企业LiteLLM终止与争议服务商Delve合作

美国知名AI网关初创企业LiteLLM于2026年3月正式宣布终止与合规服务商Delve的全部合作。此前LiteLLM曾通过Delve获得两项安全合规认证，上周该公司遭遇大规模凭据窃取恶意软件攻击，经溯源相关安全漏洞与Delve提供的服务存在直接关联，事件已引发AI服务供应链安全的全行业讨论。

3月30日，LiteLLM官方发布公告宣布了终止与Delve全部合作的决定。作为全球市场占有率Top3的AI网关服务商，LiteLLM的核心业务是为企业客户提供统一的大模型接口调度、权限管理与合规审计服务，目前服务覆盖超过2000家商业客户，其中近30家为全球五百强企业。

上周爆发的凭据窃取恶意软件攻击，直接导致117家中小企业客户的大模型API调用密钥存在泄露风险，部分客户甚至出现了非授权的大模型调用记录。LiteLLM安全团队在事件发生后48小时内完成全链路溯源，最终确认风险入口来自Delve提供的合规审计插件所存在的预留后门。此前LiteLLM正是通过Delve的相关服务，快速拿到了SOC 2 Type II与GDPR两项行业通用的安全合规认证，以满足金融、医疗等监管严格领域客户的准入要求。

事实上Delve的安全风险早有先例，2025年就曾有两家SaaS企业曝出接入Delve合规服务后出现内部数据泄露事件，但由于涉及客户规模较小，并未引发行业广泛重视。

当前越来越多AI初创企业为了加快商业化落地进度，选择将合规审计、安全扫描等非核心能力外包给第三方服务商，却忽略了对第三方服务本身的安全校验，由此产生的供应链风险正在成为AI行业新的安全重灾区。据云安全联盟2026年年初发布的报告显示，过去一年AI服务商发生的安全事件中，有42%与第三方合作组件的漏洞相关，这一占比同比提升了17个百分点。

目前LiteLLM已经公开宣布将自建合规团队，在未来3个月内重新完成两项安全合规认证的申请工作，同时为所有受本次事件影响的客户提供为期1年的免费密钥动态管理服务，补偿客户的相关损失。

本次事件也直接推动了全球AI监管层面的调整，据悉欧盟AI法案的后续修订细则中，已经计划加入AI服务供应链安全的相关条款，要求通用AI服务提供商必须对所有第三方合作组件做全链路的安全审计，并对外公开审计结果，否则将无法进入欧盟市场。