六个月前Mercor完成3.5亿美元C轮融资,估值直冲100亿美元。3月31日公司承认遭受数据泄露。黑客团体宣称从Mercor系统窃取4TB数据,包括候选人资料、个人信息、雇主数据、源代码和API密钥。根据TechCrunch报道,Mercor未确认数据真实性,只表示正在调查,并会直接与客户和承包商沟通。泄露源头是开源工具LiteLLM遭黑客攻击。该工具每天下载量达数百万次。40分钟内LiteLLM携带凭证窃取恶意软件。攻击者用这些凭证入侵更多账户,层层扩展。Mercor处理AI模型训练的核心机密数据,比如自定义数据集和训练流程。这些对模型厂商至关重要。Meta甚至在斥资143亿美元收购竞争对手Scale AI后,仍继续与Mercor合作。
Meta已无限期暂停与Mercor的合同,Wired援引消息人士透露。Mercor拒绝就此置评。OpenAI向Wired确认,正在评估自身在泄露中的暴露,但未暂停或终止合同。TechCrunch从多位消息人士处获悉,其他大型模型厂商也在审视与Mercor的关系,不过细节尚未确认。Mercor五位承包商已提起诉讼,指控个人信息暴露,Business Insider报道。其中一起诉讼由TechCrunch审阅,甚至将LiteLLM和Delve列为被告。Delve是AI合规初创公司,曾为LiteLLM提供安全认证。匿名举报人指控Delve伪造安全认证数据,使用走过场审计员。Delve否认指控,同时进行运营调整。Y Combinator已切断与Delve联系。LiteLLM放弃Delve,转向另一家AI合规公司重新认证,并发布完整安全事件报告。Mercor确认自己并非Delve客户。
Mercor今年初预计年化收入超过10亿美元,一位匿名消息人士告诉The Information。泄露事件让大量收入岌岌可危。公司依赖这些合同维持高速增长。AI数据训练市场竞争激烈,信任是核心壁垒。一旦客户流失,恢复难度极大。黑客持续兜售数据样本,进一步放大危机。Mercor正投入资源修复,但短期压力巨大。行业内类似事件频发,LiteLLM事件暴露开源工具风险。开发者下载量巨大,却易成攻击入口。Mercor需尽快证明数据安全,否则估值泡沫可能破灭。承包商诉讼或成长期隐患,律师正挖掘更多细节。