AI网关巨头LiteLLM切割合规商Delve，AI基础设施合规隐患引热议

2026年3月31日，全球头部AI网关开发商LiteLLM正式宣布终止与合规服务商Delve的所有合作，将转由竞品机构重新开展安全认证。此前LiteLLM开源版本遭遇凭证窃取恶意攻击，暴露出Delve为其颁发的两项安全认证存在审计失职，甚至涉嫌数据造假、雇佣无资质审计人员，引发全行业对AI基础设施合规体系的信任质疑。

上周发生的LiteLLM开源版本凭证窃取攻击，目前已造成全球范围内超过300家中小开发者的API调用凭证泄露，直接经济损失预估超200万美元——这起本就引发行业震动的安全事件，随着LiteLLM的官方公告再次升级。

作为全球市占率第二的AI网关产品，LiteLLM此前为拓展金融、政务类高安全要求客户，委托合规初创公司Delve开展安全审计，并顺利拿下了SOC 2 Type II、ISO 27001两项核心安全认证，这也成为其对外宣传的核心信任背书。

但攻击发生后的溯源调查显示，恶意代码早在3个月前就已经混入LiteLLM的开源迭代版本，而Delve的审计报告中完全没有提及相关风险。更让舆论哗然的是，随后有匿名业内人士举报，Delve长期通过伪造测试数据、雇佣无资质审计人员“走过场”的方式为客户出具合规证明，大量通过Delve认证的AI产品实际安全防护能力远低于标准要求。

事件曝光后，Delve创始人第一时间公开否认指控，称所有审计流程符合规范，愿意为所有客户提供免费的安全复检服务，试图稳住合作方。但仅24小时后，举报人就放出了Delve内部聊天记录、未签字的空白审计报告等核心证据，显示其为LiteLLM出具的两项认证完全未经过实际代码测试，仅用3天就走完了原本需要1个月的全流程。

面对信任危机，LiteLLM首席技术官Ishaan Jaffer通过社交平台公开致歉，宣布即刻终止与Delve的所有合作，已经联系头部合规机构加急开展全流程安全审计，所有受本次攻击影响的用户都可获得1年免费的API安全防护服务，后续也会将所有审计报告公开，接受全行业监督。

本次事件也暴露了整个AI行业的底层安全隐患：AI网关是当前AI应用栈的核心流量枢纽，上接OpenAI、Claude等大模型服务，下连企业内部业务系统，手握大量敏感数据和调用凭证，一旦出现安全漏洞影响范围极广。但此前行业对AI基础设施的合规要求大多停留在纸面，不少服务商为了降低成本，都会选择价格更低、审核更松的合规机构走流程，并没有实际落实安全要求。

不少业内安全专家呼吁，后续监管部门应当出台专门针对AI基础设施的安全审计规范，明确合规机构的资质门槛，避免类似的“纸面合规”事件再次发生，筑牢AI应用的底层安全防线。