AIPress.com.cn报道

4月3日消息，据《财富》报道，为多家大型人工智能公司提供训练数据的初创公司Mercor确认发生安全事件，可能导致公司及用户相关敏感信息被泄露。此次事件与开源工具LiteLLM遭到供应链攻击有关。

Mercor成立仅三年，是硅谷近年来增长最快的AI公司之一，目前估值约100亿美元。公司主要通过招募医学、法律、文学等多个领域的专家，为AI模型训练提供高质量数据，其客户包括OpenAI、Anthropic和Meta等科技公司。

根据网络上流传但尚未完全证实的信息，此次泄露事件可能涉及部分客户使用的数据集以及与AI项目相关的信息。Mercor向媒体证实，公司是LiteLLM供应链攻击中“数千家受影响企业之一”，目前已经采取措施控制事件影响，并启动第三方取证调查。

LiteLLM是一款广泛使用的开源库，开发者通常利用它将应用程序连接到OpenAI、Anthropic等AI服务。安全公司Snyk表示，黑客组织TeamPCP在该项目代码中植入恶意程序，试图窃取凭证信息并在行业中快速传播。相关代码在被发现后数小时内被移除。

随后，黑客组织Lapsus$声称已获取Mercor部分数据并在其泄露网站上发布样本。据TechCrunch报道，这些样本包括疑似Slack通信记录、内部工单信息，以及两段展示Mercor AI系统与平台承包人员互动的视频。Lapsus$称其掌握的数据规模可能达到4TB，其中包括源代码和数据库记录。

网络安全研究人员指出，TeamPCP主要通过在常用软件库中植入恶意代码实施供应链攻击，而Lapsus$则以社交工程和凭证窃取攻击闻名。两类攻击手法的结合可能扩大影响范围。

Mercor方面表示，保护客户与平台合作人员的数据安全是公司的核心原则，并将持续与客户和合作人员沟通相关情况，同时投入必要资源解决问题。

业内人士认为，此次事件可能只是供应链攻击带来的第一批影响案例。此前黑客组织已表示计划与勒索软件团队合作，对受影响企业进行大规模勒索。类似的攻击曾在2023年发生，当时Cl0p黑客组织利用MOVEit文件传输系统漏洞，导致数百家机构数据泄露，影响近1亿人。（AI普瑞斯编译）