六个月前,AI数据训练初创公司Mercor刚刚完成了一轮3.5亿美元的C轮融资,估值达到100亿美元,正处于高速发展阶段。然而,3月31日该公司承认遭遇数据泄露事件后,陷入了前所未有的困境。
据称,一个黑客组织声称从Mercor系统中窃取了4TB的数据,涉及候选人档案、个人身份信息、雇主数据、源代码以及API密钥等敏感信息。Mercor尚未确认数据的真实性,仅表示正在调查此事,并将继续与客户和承包商保持沟通,投入必要资源尽快解决问题。
Mercor表示,此次数据泄露源于开源工具LiteLLM被黑客入侵。LiteLLM是一款极为流行的工具,每天下载量达数百万次。黑客利用该工具中存在的凭证窃取恶意软件,在40分钟内窃取了登录凭证,进而访问更多软件和账户,形成连锁窃取。
虽然Mercor尚未正式披露具体泄露数据量,但事件已引发连锁反应。据《连线》报道,Meta已无限期暂停与Mercor的合同合作,Mercor对此未予置评。
作为合同AI数据训练公司,Mercor掌握着模型制造商的核心商业机密,包括定制数据集和训练流程。即便Meta此前斥资143亿美元收购了Mercor的竞争对手Scale AI,仍继续与Mercor合作。
OpenAI也向《连线》确认正在调查此次泄露对自身的影响,但尚未暂停或终止与Mercor的合作。TechCrunch从多方消息源获悉,其他大型模型制造商也在重新评估与Mercor的合作关系,但尚无足够信息确认具体名单。
与此同时,已有五名Mercor承包商因个人数据泄露提起诉讼,具体威胁程度尚不明朗,Mercor未对此发表评论。
一份诉讼文件甚至将LiteLLM和AI合规初创公司Delve列为被告。LiteLLM曾通过Delve获得安全认证,但Delve被匿名举报涉嫌伪造安全认证数据并使用敷衍的审计机构。虽然安全认证不能完全阻止黑客攻击,但旨在确保企业具备降低风险的流程。
Delve否认指控并已进行运营调整,但形象受损严重,甚至被知名创业孵化器Y Combinator断绝合作关系。LiteLLM已终止与Delve合作,转而与另一家AI合规公司合作重新获取安全认证,并发布了完整的安全事件报告。
Mercor确认自身并非Delve客户,但若事件持续发酵,可能对其收入造成重大影响。据匿名消息透露,Mercor在数据泄露前预计今年年化收入将超过10亿美元。
此次事件对Mercor及整个AI数据训练行业均带来深远影响,未来发展仍需持续关注。
