知名 AI 招聘平台 Mercor 确认遭供应链攻击
AI 招聘初创公司 Mercor 已证实遭遇安全事件,与开源项目 LiteLLM 近期被入侵有关。
据 TechCrunch 报道,Mercor 成立于 2023 年,与 OpenAI、Anthropic 等公司合作,通过印度等地市场签约科学家、医生、律师等专业人士来训练 AI 模型。平台每天处理超过 200 万美元的付款,2025 年 10 月完成由 Felicis Ventures 领投的 3.5 亿美元 C 轮融资后,估值达 100 亿美元。
事件始末
攻击起初由勒索黑客组织 Lapsus$ 在其泄露网站上宣称负责,并分享了据称从 Mercor 获取的数据样本。TechCrunch 审核&查验后发现,样本涉及 Slack 数据、工单数据,以及两段据称展示 Mercor AI 系统与平台承包商对话的视频。
目前尚不清楚 Lapsus$ 是如何从 TeamPCP 的攻击中获得 Mercor 的失窃数据。
LiteLLM 供应链受污染
LiteLLM 攻击事件上周首次曝光,原因是这家 Y Combinator 支持的开源项目关联包中被发现植入恶意代码。安全公司 Snyk 指出,尽管恶意代码在数小时内被识别并移除,但由于 LiteLLM 库每日下载量达数百万次,此次事件仍引发广泛关注。
事件发生后,LiteLLM 已调整合规流程,将合规认证供应商从此前备受争议的 Delve 切换为 Vanta。
Mercor 回应
Mercor 发言人 Heidi Hagberg 向 TechCrunch 表示,公司已"迅速采取行动"控制并修复安全事件。
"我们正由领先的第三方取证专家协助进行全面调查。我们将继续适时与客户及承包商直接沟通,并投入必要资源尽快解决此事。"
但 Hagberg 拒绝回答此次事件是否与 Lapsus$ 的声称有关,也未透露是否有客户或承包商数据被访问、窃取或滥用。
截至目前,LiteLLM 相关事件具体影响范围尚不明确,调查仍在进行中。
评论