Mercor这家AI招聘平台栽了跟头。成立于2023年的它,专帮OpenAI和Anthropic这类巨头招募专家训练模型。科学家、医生、律师,从印度市场挖来干活。每天支付超过200万美元。去年10月C轮融资3.5亿美元,估值直奔100亿美元。领投方是Felicis Ventures。风头正劲,却卷入黑客攻击。
TechCrunch爆料,Mercor周二确认安全事件。起因是开源项目LiteLLM遭供应链攻击。黑客组TeamPCP干的。Mercor自称是数千受害公司之一。LiteLLM这库广受欢迎,每天下载量达数百万次。安全公司Snyk数据。上周恶意代码现身某个包里。几小时内拔掉。LiteLLM赶紧换合规服务,从Delve跳到Vanta。
更棘手的是Lapsus$出马。这敲诈黑客团伙在泄露站点宣战Mercor。贴出数据样本。TechCrunch亲验。里面有Slack痕迹、工单记录。还附两段视频。视频里Mercor的AI系统跟承包商聊天。真假待考。Mercor没正面回应Lapsus$。发言人Heidi Hagberg只说行动迅速。隔离漏洞。用第三方取证专家查。直接通知客户和承包商。资源全砸进去,早日摆平。
Hagberg拒答追问。不提Lapsus$关联。不说客户或承包商数据丢没丢。也没提是否外泄滥用。供应链攻击这事儿,LiteLLM中招后,影响范围不明。调查中。数据曝光没曝光,也没谱。
Mercor模式听着牛。匹配领域专家给AI喂数据。印度低成本劳动力池大。每天200万刀流水,体量不小。估值100亿,烧钱快。安全却露怯。开源LiteLLM本是省事儿神器。谁知藏毒。TeamPCP瞄准它,波及成千上万。Y Combinator后台的LiteLLM,平时风光。下载爆炸,这次栽了。
Lapsus$这帮人狠。过去专挑大厂下手。Mercor数据样本一晒,闹得人心惶惶。Slack聊天、工单、AI对话视频。够劲爆。Mercor急隔离,聪明。但根儿上,开源依赖症得治。AI公司蜂拥,数据隐私成雷区。专家承包商信息,全是金矿。黑客一戳,就爆。
LiteLLM事件闹大。恶意代码藏包里。Snyk盯紧。几小时响应快。但数百万下载,扩散神速。Mercor这类初创,估值飞天。安全预算跟不上。100亿估值下,漏洞一开,血亏。承包商视频流出,信任崩。OpenAI、安thropic客户名单亮堂堂。风险传导。
行业得警醒。AI招聘链条长。从印度专家到美帝模型。全靠平台桥接。LiteLLM这类工具,方便是方便。隐患也大。Vanta换合规,LiteLLM补课及时。Mercor调查结果出来再说。Lapsus$样本真货,麻烦大。数千公司同船。谁先沉,谁知道。
开源世界水深。LiteLLM下载量日百万级。黑客盯上正常。Mercor回应稳。隔离、取证、通知。标准流程。但数据样本已晒,补救难。AI浪潮下,安全成刚需。估值100亿的独角兽,栽在供应链。教训贵。承包商视频一出,印度市场信赖动摇。每天200万支付,停一天肉疼。黑客乐了。