📢 转载信息
原文作者:Jagmeet Singh
知名AI招聘初创公司 Mercor 日前证实,公司遭受了一起安全事件,该事件与针对开源项目 LiteLLM 的供应链攻击有关。
Mercor 在周二告诉 TechCrunch,它是近期因 LiteLLM 项目被入侵而受到影响的“数千家公司之一”。此次入侵事件与一个名为 TeamPCP 的黑客组织有关。与此同时,勒索黑客组织 Lapsus$ 宣称其已针对 Mercor 发起攻击并获取了公司数据。
目前尚不清楚 Lapsus$ 组织是如何作为 TeamPCP 网络攻击的一部分,从 Mercor 获取被盗数据的。
公司背景
Mercor 成立于2023年,与 OpenAI 和 Anthropic 等公司合作,通过聘请印度等市场的科学家、医生和律师等专业领域专家来训练 AI 模型。据称,该公司每天的支付额超过200万美元。在2025年10月由 Felicis Ventures 领投的3.5亿美元 C 轮融资后,该公司的估值已达到100亿美元。
Mercor 发言人 Heidi Hagberg 向 TechCrunch 证实,公司已“迅速采取行动”以遏制并修复此次安全事件。
Hagberg 表示:“我们正在领先的第三方取证专家的支持下进行彻底调查。我们将继续直接与我们的客户和承包商进行沟通,并投入必要资源尽快解决问题。”
数据泄露细节
此前,Lapsus$ 在其泄露网站上声称对这起数据泄露事件负责,并分享了据称从 Mercor 获取的数据样本。TechCrunch 审阅了这些样本,其中包括引用 Slack 数据的内容、看似工单的数据,以及两段据称显示 Mercor AI 系统与平台承包商之间对话的视频。
Hagberg 拒绝回答关于该事件是否与 Lapsus$ 的声明有关,以及是否有任何客户或承包商数据被访问、窃取或滥用的后续问题。
LiteLLM 的安全挑战
LiteLLM 的安全问题最初在上一周浮出水面,当时在这一 Y Combinator 孵化初创公司的开源项目相关包中发现了恶意代码。尽管恶意代码在几小时内被识别并移除,但由于 LiteLLM 在互联网上的广泛使用——据安全公司 Snyk 统计,该库每天被下载数百万次——这一事件引起了广泛关注。此次事件也促使 LiteLLM 改变了其合规流程,包括从颇具争议的初创公司 Delve 转向 Vanta 进行合规认证。
随着调查的继续,目前尚不清楚究竟有多少公司受到 LiteLLM 相关事件的影响,也不清楚是否发生了数据泄露。
🚀 想要体验更好更全面的AI调用?
欢迎使用青云聚合API,约为官网价格的十分之一,支持300+全球最新模型,以及全球各种生图生视频模型,无需翻墙高速稳定,文档丰富,小白也可以简单操作。
评论区