AI数据训练初创公司Mercor遭遇数据泄露事件,估值与业务面临挑战
估值100亿美元的AI数据训练初创公司Mercor于3月31日承认遭遇数据泄露,黑客声称窃取4TB数据,包括候选人资料、个人身份信息、雇主数据、源代码及API密钥。公司称事件源于开源工具LiteLLM遭植入凭证窃取恶意软件,导致连锁攻击。
Mercor表示,其数据泄露事件源于开源工具LiteLLM被植入凭证窃取恶意软件。该工具每日下载数百万次,在40分钟内被恶意软件利用,窃取登录凭证并进一步渗透系统。Mercor未确认黑客所称数据的真实性,仅表示正在调查,并将与客户和承包商保持沟通,投入必要资源解决问题。
事件已引发连锁反应。Meta已暂停与Mercor的合同,相关消息由Wired报道。OpenAI确认正在调查自身在此次事件中的暴露情况,但尚未暂停或终止合作。另有消息指其他大型模型开发商正在重新评估与Mercor的合作关系,但未获证实。
五家Mercor的承包商已提起诉讼,指控其个人数据泄露。其中一起诉讼将LiteLLM及AI合规公司Delve列为被告。Delve此前被匿名举报人指控伪造安全认证数据,并使用“橡皮图章”审计机构,导致Y Combinator与其断绝关系。尽管Delve否认指控并已调整运营,但其声誉受损。LiteLLM已弃用Delve,转而与另一AI合规公司合作重新获取安全认证,并发布完整安全事件报告。
值得注意的是,Mercor并非Delve客户。然而,若事件持续发酵,Mercor的收入可能面临重大冲击。此前据The Information匿名消息源称,Mercor年化收入有望突破10亿美元,但目前业务前景尚不明朗。
编辑点评
此次Mercor数据泄露事件凸显了AI产业链中数据安全与供应链管理的脆弱性。作为连接模型开发商与训练数据的重要环节,Mercor掌握大量核心商业机密,其安全漏洞可能波及整个AI生态,包括Meta、OpenAI等头部企业。事件暴露出开源工具在广泛使用下的安全风险,以及第三方合规认证体系的潜在漏洞。Delve被指控伪造认证数据,反映出当前AI安全认证市场缺乏有效监管,可能影响整个行业的可信度。从长远看,该事件或将推动AI企业加强供应链安全审计,甚至促使行业建立更严格的第三方安全认证标准。若Mercor无法恢复客户信任,其市值和业务将面临重创,也可能促使其他AI数据服务公司重新评估其安全架构。