# Delve
估值100亿美元的AI数据训练初创公司Mercor于3月31日承认遭遇数据泄露,黑客声称窃取4TB数据,包括候选人资料、个人身份信息、雇主数据、源代码及API密钥。公司称事件源于开源工具LiteLLM遭植入凭证窃取恶意软件,导致连锁攻击。Meta已暂停与其合作,OpenAI正在调查但未终止合同。五家承包商已提起诉讼,部分诉讼将LiteLLM及AI合规公司Delve列为被告。Delve此前被指控伪造安全认证数据,已被Y Combinator断绝关系。Mercor此前年化收入有望超10亿美元,目前业务前景不明。
美国开源AI工具LiteLLM遭遇恶意软件攻击,该软件日下载量高达340万次,拥有4万GitHub星标。恶意代码通过依赖项植入,窃取登录凭证并横向扩散。安全研究员Callum McMahon在下载后因系统崩溃发现漏洞,认为其为粗制滥造的“vibe coding”产物。LiteLLM团队正与Mandiant合作调查。同时,LiteLLM官网宣称通过SOC2和ISO 27001认证,但认证服务由初创公司Delve提供,后者正面临伪造数据、雇佣“橡皮图章”审计机构的指控。LiteLLM CEO未回应Delve相关质疑,称当前重点为事件调查与技术复盘。
开源AI项目LiteLLM近日被发现遭恶意软件入侵,该软件通过依赖项传播,窃取登录凭证并横向扩散。事件由FutureSearch研究人员Callum McMahon发现,其设备在下载后因恶意代码崩溃。LiteLLM日下载量高达340万次,GitHub获4万星。尽管项目官网标称已通过SOC2和ISO 27001安全认证,但认证由初创公司Delve提供,后者被指存在伪造数据、使用“橡皮图章”审计等问题。LiteLLM CEO Krrish Dholakia表示正与Mandiant合作调查,暂无评论Delve认证事宜。事件引发对开源安全及第三方认证可信度的广泛讨论。