AI招聘新星Mercor遭网络攻击,祸起开源项目LiteLLM供应链漏洞
AI招聘初创公司Mercor近日确认遭遇一起安全事件,该事件与开源项目LiteLLM的供应链攻击有关。 勒索黑客组织Lapsus$声称已窃取Mercor数据,而攻击源头指向另一个黑客团伙TeamPCP对LiteLLM项目的入侵。
事件概述:供应链攻击下的数据泄露
Mercor是一家成立于2023年的AI招聘平台,专注于为OpenAI、Anthropic等公司提供领域专家(如科学家、医生、律师)来训练AI模型。该公司每日支付额超过200万美元,并在2025年10月完成由Felicis Ventures领投的3.5亿美元C轮融资后,估值达到100亿美元。
本周二,Mercor向TechCrunch证实,公司是近期LiteLLM项目被入侵的数千家企业之一。LiteLLM是一个开源项目,其漏洞被黑客组织TeamPCP利用,导致供应链攻击蔓延。与此同时,勒索团伙Lapsus$在其泄露网站上声称对Mercor的数据泄露负责,并分享了据称从Mercor窃取的数据样本。
攻击细节与数据样本
TechCrunch审查了Lapsus$分享的数据样本,内容包括:
- Slack数据引用:涉及内部通信记录。
- 工单数据:疑似平台运营或客户支持相关记录。
- 两段视频:据称展示了Mercor的AI系统与其平台上承包商之间的对话。
目前尚不清楚Lapsus$如何从TeamPCP的网络攻击中获得这些被盗数据,但事件凸显了开源软件供应链的脆弱性。
公司回应与调查进展
Mercor发言人Heidi Hagberg表示,公司已迅速采取行动遏制并修复安全事件。她强调:“我们正在由领先的第三方取证专家支持进行彻底调查。我们将继续与客户和承包商直接沟通,并投入必要资源尽快解决问题。”
AI行业安全挑战加剧
此次事件发生在AI行业高速扩张的背景下,Mercor作为连接AI巨头与专业人才的平台,其数据安全至关重要。供应链攻击通过第三方开源组件渗透,已成为企业安全的新常态。LiteLLM作为开源工具,被广泛集成于各类AI系统中,其漏洞影响范围可能远超已披露的数千家公司。
关键启示
- 开源依赖风险:企业需加强对第三方开源组件的安全审计与监控。
- 数据保护优先级:AI公司处理大量敏感数据,必须将安全置于产品开发的核心位置。
- 应急响应能力:快速遏制与透明沟通是降低事件负面影响的关键。
Mercor事件再次敲响警钟:在AI技术快速落地的同时,安全防线必须同步加固。