AI网关巨头LiteLLM切割合规商Delve，AI基础设施合规隐患引热议

2026年3月31日，全球头部AI网关开发商LiteLLM正式宣布终止与合规服务商Delve的所有合作，将转由竞品机构重新开展安全认证。此前LiteLLM开源版本遭遇凭证窃取恶意攻击，暴露出Delve为其颁发的两项安全认证存在审计失职，甚至涉嫌数据造假、雇佣无资质审计人员，引发全行业对AI基础设施合规体系的信任质疑。

上周发生的LiteLLM开源版本凭证窃取攻击，目前已造成全球范围内超过300家中小开发者的API调用凭证泄露，直接经济损失预估超200万美元——这起本就引发行业震动的安全事件，随着LiteLLM的官方公告再次升级。

作为全球市占率第二的AI网关产品，LiteLLM此前为拓展金融、政务类高安全要求客户，委托合规初创公司Delve开展安全审计，并顺利拿下了SOC 2 Type II、ISO 27001两项核心安全认证，这也成为其对外宣传的核心信任背书。

但攻击发生后的溯源调查显示，恶意代码早在3个月前就已经混入LiteLLM的开源迭代版本，而Delve的审计报告中完全没有提及相关风险。更让舆论哗然的是，随后有匿名业内人士举报，Delve长期通过伪造测试数据、雇佣无资质审计人员“走过场”的方式为客户出具合规证明，大量通过Delve认证的AI产品实际安全防护能力远低于标准要求。

事件曝光后，Delve创始人第一时间公开否认指控，称所有审计流程符合规范，愿意为所有客户提供免费的安全复检服务，试图稳住合作方。但仅24小时后，举报人就放出了Delve内部聊天记录、未签字的空白审计报告等核心证据，显示其为LiteLLM出具的两项认证完全未经过实际代码测试，仅用3天就走完了原本需要1个月的全流程。