2026年3月24日、AIツール連携ライブラリLiteLLM（月間9,500万ダウンロード）がPyPI上で改ざんされていたことが判明しました。攻撃グループTeamPCPが認証情報を窃取するコードを注入。AI人材プラットフォームMercor（評価額10億ドル超）がLapsus$による被害を受けたことも確認されています（TechCrunch 2026年3月31日報道）。

AIツールのOSS依存関係がサプライチェーン攻撃の標的になっています。エンジニアだけでなく、pip installでAIライブラリを導入する非エンジニアにもリスクの認識が求められます。