Mercor,一家知名的AI招聘初创公司,确认其遭遇了一起与开源项目LiteLLM供应链攻击相关的安全事件。
这家AI初创公司周二向TechCrunch透露,它是“成千上万受LiteLLM项目近期安全漏洞影响的公司之一”,该漏洞与一个名为TeamPCP的黑客组织有关。此次事件的确认正值勒索黑客组织Lapsus$声称已针对Mercor并获取其数据之时。
目前尚不清楚Lapsus$团伙如何通过TeamPCP的网络攻击获得Mercor被盗数据。
Mercor成立于2023年,致力于与包括OpenAI和Anthropic在内的公司合作,通过聘请科学家、医生、律师等专业领域专家(主要来自印度市场)来训练AI模型。该初创公司表示每天处理超过200万美元的支付,且在2025年10月完成由Felicis Ventures领投的3.5亿美元C轮融资后,估值达到100亿美元。
Mercor发言人Heidi Hagberg向TechCrunch确认,公司已“迅速采取行动”控制并修复此次安全事件。
“我们正在与顶级第三方取证专家合作,进行全面调查,”Hagberg表示,“我们将继续适时与客户和承包商直接沟通,并投入必要资源,尽快解决此事。”
此前,Lapsus$在其泄露网站上声称对这起数据泄露事件负责,并分享了据称从Mercor窃取的数据样本,TechCrunch对此进行了审查。样本中包含Slack数据和疑似工单数据,以及两段据称展示Mercor AI系统与平台承包商对话的视频。
Hagberg拒绝回答后续问题,包括此次事件是否与Lapsus$的声明有关,或是否有客户或承包商数据被访问、窃取或滥用。
LiteLLM的安全漏洞最初于上周曝光,当时在与该Y Combinator支持的初创公司相关的开源项目包中发现恶意代码。虽然恶意代码在数小时内被识别并移除,但由于LiteLLM在互联网的广泛使用——据安全公司Snyk统计,该库每天被下载数百万次——该事件引发了广泛关注。此次事件还促使LiteLLM调整其合规流程,包括将合规认证从备受争议的初创公司Delve转向Vanta。
目前尚不清楚有多少公司受到LiteLLM相关事件的影响,也不确定是否存在数据泄露,调查仍在进行中。
