AIPress.com.cn報道

4月3日消息，據《財富》報道，為多家大型人工智能公司提供訓練數據的初創公司Mercor確認發生安全事件，可能導致公司及用戶相關敏感信息被泄露。此次事件與開源工具LiteLLM遭到供應鏈攻擊有關。

Mercor成立僅三年，是硅谷近年來增長最快的AI公司之一，目前估值約100億美元。公司主要通過招募醫學、法律、文學等多個領域的專家，為AI模型訓練提供高質量數據，其客戶包括OpenAI、Anthropic和meta等科技公司。

根據網絡上流傳但尚未完全證實的信息，此次泄露事件可能涉及部分客戶使用的數據集以及與AI項目相關的信息。Mercor向媒體證實，公司是LiteLLM供應鏈攻擊中“數千家受影響企業之一”，目前已經采取措施控制事件影響，并啟動第三方取證調查。

LiteLLM是一款廣泛使用的開源庫，開發者通常利用它將應用程序連接到OpenAI、Anthropic等AI服務。安全公司Snyk表示，黑客組織TeamPCP在該項目代碼中植入惡意程序，試圖竊取憑證信息并在行業中快速傳播。相關代碼在被發現后數小時內被移除。

隨后，黑客組織Lapsus$聲稱已獲取Mercor部分數據并在其泄露網站上發布樣本。據TechCrunch報道，這些樣本包括疑似Slack通信記錄、內部工單信息，以及兩段展示Mercor AI系統與平臺承包人員互動的視頻。Lapsus$稱其掌握的數據規模可能達到4TB，其中包括源代碼和數據庫記錄。

網絡安全研究人員指出，TeamPCP主要通過在常用軟件庫中植入惡意代碼實施供應鏈攻擊，而Lapsus$則以社交工程和憑證竊取攻擊聞名。兩類攻擊手法的結合可能擴大影響范圍。

Mercor方面表示，保護客戶與平臺合作人員的數據安全是公司的核心原則，并將持續與客戶和合作人員溝通相關情況，同時投入必要資源解決問題。

業內人士認為，此次事件可能只是供應鏈攻擊帶來的第一批影響案例。此前黑客組織已表示計劃與勒索軟件團隊合作，對受影響企業進行大規模勒索。類似的攻擊曾在2023年發生，當時Cl0p黑客組織利用MOVEit文件傳輸系統漏洞，導致數百家機構數據泄露，影響近1億人。（AI普瑞斯編譯）