AIゲートウェイ「LiteLLM」、不正疑惑のコンプライアンス企業Delveと決別——セキュリティ認証を再取得へ

LiteLLM、Delveとの契約解消を公式発表

数百万人の開発者が利用するAIゲートウェイサービス「LiteLLM」は、セキュリティコンプライアンス認証を提供するスタートアップ「Delve」との契約を解消すると公式に発表した。今後は競合サービスの「Vanta」を通じて認証を再取得するとしている。

LiteLLMは開発者がOpenAIやAnthropicなど複数のLLM（大規模言語モデル）プロバイダーを統一インターフェースで呼び出せるOSSライブラリとして広く普及しており、エンタープライズ向けのゲートウェイ機能も提供している。日本国内でも多くのAIアプリケーション開発で採用されている。

今回の決断には、二つの問題が重なった。

一つ目は、LiteLLMのオープンソース版が先週、深刻なクレデンシャル窃取マルウェアの被害を受けたこと。このインシデントにより、同社のセキュリティ態勢が改めて注目を集めた。

二つ目は、Delve自体への不信感の高まりだ。Delveは「AIネイティブなコンプライアンス認証」を売りにしたスタートアップだが、匿名の内部告発者から虚偽のデータを生成して顧客に誤解を与え、形式的なチェックしかしない審査員を使って認証を通過させていたとの告発が相次いでいる。

Delveの創業者はこれらの疑惑を否定し、顧客全員への無償再テストを申し出たが、内部告発者は週末にかけて「証拠」とされる追加資料を公開。疑惑は収束するどころか拡大している。

LiteLLMのCTO、Ishaan Jaffer氏は月曜日にX（旧Twitter）で声明を投稿。Vantaを使って認証を再取得し、独立したサードパーティ審査員を自社で選定してコンプライアンス管理を検証すると表明した。

SOC 2やISO 27001といったセキュリティコンプライアンス認証は、企業がインシデント防止の手順を整備していることを第三者が保証するもの。AIインフラを担うサービスにとって、エンタープライズ顧客からの信頼を得るうえで欠かせない要素だ。

今回の一連の出来事は、急拡大するAIスタートアップ市場において、コンプライアンス認証の品質と透明性がいかに重要かを改めて浮き彫りにした。LiteLLMの「足で投票する」判断は、業界全体への警鐘ともなりそうだ。