Enam bulan yang lalu, Mercor adalah contoh dari ledakan AI. Setelah putaran pendanaan Seri C sebesar $350 juta, startup pelatihan data AI ini mencapai valuasi $10 miliar yang mengejutkan. Saat ini, momentum tersebut telah digantikan oleh serangkaian krisis yang meningkat akibat pelanggaran data besar-besaran.
Anatomi Pelanggaran
Pada tanggal 31 Maret, Mercor mengakui telah menjadi sasaran para peretas. Sejak itu, sebuah kelompok peretas mengklaim telah mengeksfiltrasi 4TB data curian. Meskipun Mercor belum secara resmi mengkonfirmasi keaslian file yang dicuri, dugaan tangkapan tersebut sangat merugikan, termasuk:
- Profil kandidat dan informasi identitas pribadi (PII).
- Data perusahaan dan catatan bisnis sensitif.
- Kode sumber eksklusif dan kunci API.
Pelanggaran tersebut dilaporkan difasilitasi melalui kerentanan di LiteLLM, alat sumber terbuka yang banyak digunakan dan diunduh jutaan kali setiap hari. Selama jangka waktu 40 menit, alat tersebut berisi “malware pemanen kredensial”—perangkat lunak berbahaya yang dirancang untuk mencuri kredensial login. Hal ini menciptakan efek domino, di mana kredensial yang dicuri digunakan untuk mengakses perangkat lunak dan akun lebih lanjut, sehingga memungkinkan penyerang untuk masuk lebih dalam ke sistem Mercor.
Dampaknya: Raksasa Industri Mempertimbangkan Kembali Kemitraan
Dalam dunia pengembangan AI, perusahaan pelatihan data seperti Mercor lebih dari sekadar penyedia layanan; mereka adalah penjaga rahasia dagang. Mereka mengelola kumpulan data khusus dan proses unik yang memungkinkan pembuat model melatih AI mereka. Tingkat kepercayaan yang tinggi inilah yang menjadi alasan perusahaan seperti Meta sebelumnya bekerja sama dengan Mercor bahkan setelah menginvestasikan $14,3 miliar pada pesaingnya, Scale AI.
Namun, kepercayaan tersebut kini sedang diuji:
- Meta dilaporkan telah menghentikan kontraknya dengan Mercor tanpa batas waktu.
- OpenAI saat ini sedang menyelidiki paparannya sendiri menyusul pelanggaran tersebut, meskipun kemitraannya dengan Mercor belum berakhir saat ini.
- Pengembang AI besar lainnya dilaporkan sedang meninjau hubungan mereka dengan perusahaan tersebut karena mereka mempertimbangkan risiko kolaborasi yang berkelanjutan.
Pertarungan Hukum dan Kontroversi “Sertifikasi”.
Krisis kini berpindah dari dunia digital ke ruang sidang. Setidaknya lima kontraktor telah mengajukan tuntutan hukum terhadap Mercor, dengan tuduhan mengungkap data pribadi mereka.
Salah satu tuntutan hukum telah menimbulkan jaringan tanggung jawab yang kompleks dengan tidak hanya menyebut Mercor, tetapi juga LiteLLM dan Delve sebagai tergugat. Hal ini menyoroti masalah penting yang sering diabaikan dalam industri teknologi: keandalan sertifikasi keamanan.
Sertifikasi keamanan dimaksudkan untuk memastikan perusahaan memiliki proses yang kuat untuk meminimalkan ancaman, namun sertifikasi tersebut bukanlah perisai ajaib terhadap serangan canggih.
Dimasukkannya Delve, sebuah startup kepatuhan AI, menambah kontroversi. Seorang pengungkap fakta (whistleblower) menuduh Delve mungkin telah menggunakan auditor yang melakukan “stempel karet” dan memalsukan data untuk mengeluarkan sertifikasi keamanan. Meskipun Delve menyangkal klaim ini, dampaknya cukup signifikan, termasuk hilangnya hubungannya dengan Y Combinator. Menanggapi pengawasan tersebut, LiteLLM telah meninggalkan Delve dan mencari sertifikasi keamanan baru melalui penyedia lain.
Ringkasan
Mercor saat ini sedang menghadapi badai pencurian data besar-besaran, hilangnya klien perusahaan besar, dan meningkatnya tantangan hukum. Insiden ini menjadi pengingat akan bagaimana satu kerentanan pada alat sumber terbuka yang populer dapat membahayakan keamanan seluruh ekosistem pengembangan AI.
