Noch vor sechs Monaten war Mercor ein Aushängeschild für den KI-Boom. Nach einer massiven Finanzierungsrunde der Serie C in Höhe von 350 Millionen US-Dollar erreichte das Startup für KI-Datentraining eine atemberaubende Bewertung von 10 Milliarden US-Dollar. Heute wurde diese Dynamik durch eine Reihe eskalierender Krisen nach einem schwerwiegenden Datenschutzverstoß abgelöst.
Die Anatomie des Verstoßes
Am 31. März gab Mercor zu, dass das Unternehmen ins Visier von Hackern geraten war. Seitdem behauptet eine Hackergruppe, 4 TB gestohlener Daten exfiltriert zu haben. Obwohl Mercor die Echtheit der gestohlenen Dateien nicht offiziell bestätigt hat, ist die mutmaßliche Beute verheerend und umfasst Berichten zufolge Folgendes:
- Kandidatenprofile und persönlich identifizierbare Informationen (PII).
- Arbeitgeberdaten und sensible Geschäftsunterlagen.
- Proprietärer Quellcode und API-Schlüssel.
Der Verstoß wurde Berichten zufolge durch eine Schwachstelle in LiteLLM erleichtert, einem weit verbreiteten Open-Source-Tool, das täglich millionenfach heruntergeladen wird. Für einen Zeitraum von 40 Minuten enthielt das Tool „Credential-Harvesting-Malware“ – bösartige Software, die darauf ausgelegt war, Anmeldeinformationen zu stehlen. Dies führte zu einem Dominoeffekt, bei dem gestohlene Zugangsdaten für den Zugriff auf weitere Software und Konten verwendet wurden, was es den Angreifern ermöglichte, tiefer in die Systeme von Mercor einzudringen.
Der Fallout: Branchenriesen überdenken Partnerschaften
In der Welt der KI-Entwicklung sind Datenschulungsunternehmen wie Mercor mehr als nur Dienstleister; Sie sind Hüter von Geschäftsgeheimnissen. Sie verwalten die benutzerdefinierten Datensätze und einzigartigen Prozesse, die es Modellbauern ermöglichen, ihre KI zu trainieren. Dieses hohe Maß an Vertrauen ist der Grund, warum Unternehmen wie Meta zuvor mit Mercor zusammengearbeitet haben, obwohl sie 14,3 Milliarden US-Dollar in den Konkurrenten Scale AI investiert hatten.
Dieses Vertrauen wird nun jedoch auf die Probe gestellt:
- Meta hat Berichten zufolge seine Verträge mit Mercor auf unbestimmte Zeit ausgesetzt.
- OpenAI untersucht derzeit seine eigene Gefährdung nach dem Verstoß, hat seine Partnerschaft mit Mercor jedoch zum jetzigen Zeitpunkt noch nicht beendet.
- Andere große KI-Entwickler überprüfen Berichten zufolge ihre Beziehungen zum Unternehmen, um die Risiken einer fortgesetzten Zusammenarbeit abzuwägen.
Rechtsstreitigkeiten und die „Zertifizierungs“-Kontroverse
Die Krise verlagert sich vom digitalen Bereich in den Gerichtssaal. Mindestens fünf Auftragnehmer haben Klagen gegen Mercor eingereicht wegen der Offenlegung ihrer personenbezogenen Daten.
Eine bestimmte Klage hat ein komplexes Haftungsnetz geschaffen, indem nicht nur Mercor, sondern auch LiteLLM und Delve als Beklagte genannt wurden. Dies unterstreicht ein kritisches, oft übersehenes Problem in der Technologiebranche: die Zuverlässigkeit von Sicherheitszertifizierungen.
Sicherheitszertifizierungen sollen sicherstellen, dass Unternehmen über robuste Prozesse zur Minimierung von Bedrohungen verfügen, sie sind jedoch kein magischer Schutzschild gegen raffinierte Angriffe.
Die Aufnahme von Delve, einem KI-Compliance-Startup, sorgt für zusätzliche Kontroversen. Ein Whistleblower hat behauptet, dass Delve möglicherweise „abgestempelte“ Prüfer und gefälschte Daten eingesetzt habe, um Sicherheitszertifizierungen auszustellen. Während Delve diese Behauptungen bestreitet, waren die Folgen erheblich, einschließlich des Verlusts seiner Beziehung zu Y Combinator. Als Reaktion auf die Prüfung hat LiteLLM Delve aufgegeben und sucht nach neuen Sicherheitszertifizierungen bei einem anderen Anbieter.
Zusammenfassung
Mercor kämpft derzeit mit einem wahren Sturm aus massivem Datendiebstahl, dem Verlust großer Unternehmenskunden und wachsenden rechtlichen Herausforderungen. Der Vorfall ist eine deutliche Erinnerung daran, wie eine einzelne Schwachstelle in einem beliebten Open-Source-Tool die Sicherheit des gesamten KI-Entwicklungsökosystems gefährden kann.
