Ještě před šesti měsíci byl Mercor hlavním symbolem boomu umělé inteligence. Po masivním kole financování Series C ve výši 350 milionů dolarů dosáhl tento start pro přípravu dat AI ohromujících 10 miliard dolarů. Dnes tento rychlý růst ustoupil sérii rostoucích krizí způsobených velkým únikem dat.
Anatomie hacku
-
března Mercor přiznal, že se stal cílem hackerů. Od té doby hackerská skupina tvrdila, že ukradla 4 TB dat. Přestože společnost Mercor oficiálně nepotvrdila pravost ukradených souborů, rozsah údajného úniku je zničující: uvádí se, že zahrnoval:
-
Profily kandidátů a osobní údaje (PII).
- Údaje o zaměstnavateli a důvěrné obchodní záznamy.
- Proprietární zdrojový kód a klíče API.
Hack byl údajně umožněn díky zranitelnosti v LiteLLM, široce používaném open-source nástroji, který se stahuje milionykrát denně. Během 40 minut nástroj obsahoval „malware pro získávání pověření“, program určený ke krádeži přihlašovacích údajů a hesel. To způsobilo dominový efekt: ukradené přihlašovací údaje byly použity pro přístup k dalším programům a účtům, což útočníkům umožnilo proniknout hlouběji do systémů Mercoru.
Důsledky: Průmysloví giganti přehodnocují partnerství
Ve světě vývoje AI nejsou společnosti zabývající se přípravou dat, jako je Mercor, jen poskytovateli služeb, ale také strážci obchodního tajemství. Spravují specializované datové sady a jedinečné procesy, které vývojářům umožňují trénovat jejich modely umělé inteligence. Právě kvůli této vysoké úrovni důvěry se společnosti jako Meta již dříve spojily s Mercorem, a to i přesto, že investovaly 14,3 miliardy dolarů do jeho konkurenta, Scale AI.
Tato důvěra je však nyní testována:
- Meta údajně pozastavila své smlouvy se společností Mercor na dobu neurčitou.
- OpenAI v současné době vyšetřuje rozsah možného ohrožení svých dat po hacknutí, i když v tuto chvíli neukončilo partnerství se společností Mercor.
- Další hlavní vývojáři AI údajně přehodnocují své vztahy se společností a zvažují rizika pokračování spolupráce.
Soudní spory a skandál „certifikace“.
Krize se přesouvá z digitálního prostoru do soudních síní. Nejméně pět dodavatelů podalo žaloby proti společnosti Mercor kvůli údajnému zveřejnění jejich osobních údajů.
Jedna ze soudních sporů vytvořila složitou situaci s rozdělením odpovědnosti, protože jako žalovaní byli jmenováni nejen Mercor, ale také LiteLLM a Delve. To zdůrazňuje kritický, často přehlížený problém v technologickém průmyslu: spolehlivost bezpečnostních certifikátů.
Bezpečnostní certifikace jsou navrženy tak, aby zajistily, že společnosti budou mít zavedené robustní procesy pro minimalizaci hrozeb, ale nejsou magickým štítem proti sofistikovaným útokům.
Zapojení Delve, startupu pro dodržování AI, přidalo další vrstvu skandálu. Whistleblower tvrdí, že společnost Delve mohla použít „formální“ auditory a zfalšovat data k vydání bezpečnostních certifikátů. Ačkoli Delve tato obvinění popírá, důsledky byly značné, včetně přerušení vztahu s Y Combinator. V reakci na intenzivní veřejnou kontrolu společnost LiteLLM ukončila své partnerství s Delve a hledá nové bezpečnostní certifikace od jiného poskytovatele.
Shrnutí
Mercor je v současnosti uprostřed „dokonalé bouře“: masivní krádeže dat, ztráta největších firemních klientů a rostoucí právní problémy. Incident slouží jako ostrá připomínka toho, jak jediná zranitelnost v populárním open-source nástroji může ohrozit bezpečnost celého vývojového ekosystému AI.
