六個月前,Mercor 剛完成一輪 3.5 億美元的 C 輪融資,估值達到 100 億美元,似乎前景光明。然而,該公司在 3 月 31 日承認遭遇數據洩露後,情況急轉直下。隨後,一個黑客組織聲稱從 Mercor 的系統中獲取了 4TB 的被盜數據,內容包括候選人檔案、個人識別信息、雇主數據、源代碼以及 API 密鑰。Mercor 對數據的真實性未作評論,只強調正在調查此事,並表示「會繼續直接與客戶和承包商溝通,並投入必要資源,儘快解決問題。」
Mercor 表示,數據洩露是由於開源工具 LiteLLM 被黑客攻擊所致。這款工具受到了廣泛使用,每天下載次數達數百萬。該工具在 40 分鐘內遭到植入憑證竊取惡意軟件,這種流氓軟件能夠竊取登錄憑證。這些憑證被用來進一步訪問其他軟件和帳戶,從而導致更多憑證的被竊取。雖然目前尚未有官方確認從 Mercor 獲取了多少數據,但隨之而來的後果已經顯現出來。據 Wired 的消息,Meta 無限期暫停了與 Mercor 的合約。
Mercor 主要負責一些模型製造商的核心數據和過程,這對於這些公司來說至關重要。即使 Meta 曾經花費 143 億美元收購了 Mercor 的競爭對手 Scale AI,仍然繼續與 Mercor 合作。根據 Wired 的報導,OpenAI 也確認正在調查其在 Mercor 數據洩露事件中的暴露情況,但在此時並未暫停或終止合約。不過,TechCrunch 獲悉,其他大型模型製造商也可能在考慮與 Mercor 的關係,儘管目前無法確認具體細節。
同時,據 Business Insider 報導,Mercor 的五名承包商已對其提起訴訟,指控個人數據遭受洩露。這些訴訟是否構成嚴重威脅,還是僅僅是機會主義行為,目前尚不明朗。TechCrunch 對於這些訴訟的具體情況無法獲得進一步評論。一項訴訟甚至將 LiteLLM 和 Delve 列為被告。這一連結可能有些牽強,但 LiteLLM 使用了 AI 合規初創公司 Delve 的服務以獲得安全認證。該公司被匿名舉報者指控偽造數據以獲取安全認證,並與不負責任的審核機構合作。
雖然安全認證並不會直接阻止黑客攻擊,但其目的是確保公司有防範此類威脅的過程。Delve 否認這些指控,並同時進行調整,但其自身也遭遇了不小的困難,甚至與 Y Combinator 終止了合作。LiteLLM 隨即與另一家 AI 合規初創公司合作,重新獲取安全認證。此外,LiteLLM 還針對此次安全事件發佈了完整報告。不過,Mercor 本身並不是 Delve 的客戶。
若 Mercor 的情況持續惡化,公司的收入可能會受到重大影響。據匿名消息來源透露,該公司在數據洩露之前的年收入預計將超過 10 億美元。這一事件引發的後果,將如何影響 Mercor 的未來,值得持續關注。
