人工智能招聘初創公司 Mercor 最近確認了與開源項目 LiteLLM 相關的安全事件,這是一起供應鏈攻擊。該公司在週二告訴 TechCrunch,自己是「數千家受到影響的公司之一」,此次事件與名為 TeamPCP 的黑客組織有關。這一事件的確認恰逢勒索黑客組織 Lapsus$ 宣稱已對 Mercor 展開攻擊並獲得其數據。至於 Lapsus$ 如何從 Mercor 獲取被竊數據,仍然不甚明確。
Mercor 成立於 2023 年,與包括 OpenAI 和 Anthropic 在內的公司合作,通過聘請來自印度等市場的專業領域專家(如科學家、醫生和律師)來訓練 AI 模型。該初創公司表示,每日交易金額超過 200 萬美元,並在 2025 年 10 月的一輪 3.5 億美元 C 輪融資後,估值達到 100 億美元。
Mercor 的發言人 Heidi Hagberg 向 TechCrunch 確認,該公司已「迅速」採取行動以控制和修復安全事件。Hagberg 表示:「我們正在進行全面調查,並由領先的第三方取證專家提供支持。我們將根據需要與客戶和合同方保持直接溝通,並投入必要資源盡快解決此事。」
此前,Lapsus$ 在其洩露網站上自稱負責此次數據洩露,並分享了一些據稱來自 Mercor 的數據樣本,TechCrunch 已對其進行審查。該樣本中包含提及 Slack 數據和看似票務數據的材料,還有兩段據稱顯示 Mercor 的 AI 系統與其平台上的合同方之間對話的視頻。
LiteLLM 的安全問題最早在上週曝光,當時發現其開源項目中的某個包內含有惡意代碼。儘管這段惡意代碼在數小時內被識別和移除,但由於 LiteLLM 在互聯網上的廣泛使用,此事件引起了關注。根據安全公司 Snyk 的數據,這個庫每天的下載次數達數百萬次。此事件還促使 LiteLLM 對其合規流程進行調整,包括將合規認證的提供方從爭議性初創公司 Delve 轉移至 Vanta。
目前尚不清楚有多少公司受到 LiteLLM 相關事件的影響,或是否發生了數據暴露,調查仍在進行中。
