Solo sei mesi fa, il Mercor era il simbolo del boom dell’intelligenza artificiale. A seguito di un massiccio round di finanziamento di serie C da 350 milioni di dollari, la startup di formazione sui dati sull’intelligenza artificiale ha raggiunto l’incredibile valutazione di 10 miliardi di dollari. Oggi, questo slancio è stato sostituito da una serie di crisi crescenti a seguito di una grave violazione dei dati.
L’anatomia della violazione
Il 31 marzo Mercor ha ammesso di essere stata presa di mira dagli hacker. Da allora, un gruppo di hacker ha affermato di aver esfiltrato 4TB di dati rubati. Sebbene Mercor non abbia confermato ufficialmente l’autenticità dei file rubati, il presunto bottino è devastante e, secondo quanto riferito, include:
- Profili dei candidati e informazioni di identificazione personale (PII).
- Dati del datore di lavoro e documenti aziendali sensibili.
- Codice sorgente proprietario e chiavi API.
Secondo quanto riferito, la violazione è stata facilitata da una vulnerabilità in LiteLLM, uno strumento open source ampiamente utilizzato e scaricato milioni di volte al giorno. Per un periodo di 40 minuti, lo strumento conteneva “malware di raccolta delle credenziali”, ovvero un software dannoso progettato per rubare le credenziali di accesso. Ciò ha creato un effetto domino, in cui le credenziali rubate sono state utilizzate per accedere a ulteriori software e account, consentendo agli aggressori di penetrare più in profondità nei sistemi Mercor.
Le conseguenze: i giganti del settore riconsiderano le partnership
Nel mondo dello sviluppo dell’intelligenza artificiale, le società di formazione sui dati come Mercor sono più che semplici fornitori di servizi; sono custodi dei segreti commerciali. Gestiscono set di dati personalizzati e processi unici che consentono ai creatori di modelli di addestrare la propria intelligenza artificiale. Questo elevato livello di fiducia è il motivo per cui aziende come Meta hanno precedentemente collaborato con Mercor anche dopo aver investito 14,3 miliardi di dollari nel suo concorrente, Scale AI.
Tuttavia, tale fiducia viene ora messa alla prova:
- Meta secondo quanto riferito ha sospeso i suoi contratti con Mercor a tempo indeterminato.
- OpenAI sta attualmente indagando sulla propria esposizione a seguito della violazione, sebbene al momento non abbia terminato la sua partnership con Mercor.
- Secondo quanto riferito, altri importanti sviluppatori di intelligenza artificiale stanno rivedendo i loro rapporti con l’azienda mentre valutano i rischi di una collaborazione continuativa.
Battaglie legali e controversia sulla “certificazione”.
La crisi si sta spostando dal regno digitale alle aule di tribunale. Almeno cinque appaltatori hanno intentato causa contro Mercor, sostenendo l’esposizione dei loro dati personali.
Una causa particolare ha introdotto una complessa rete di responsabilità nominando non solo Mercor, ma anche LiteLLM e Delve come imputati. Ciò evidenzia una questione critica, spesso trascurata nel settore tecnologico: l’affidabilità delle certificazioni di sicurezza.
Le certificazioni di sicurezza hanno lo scopo di garantire che le aziende dispongano di processi solidi per ridurre al minimo le minacce, ma non sono uno scudo magico contro attacchi sofisticati.
L’inclusione di Delve, una startup di conformità AI, aggiunge uno strato di controversia. Un informatore ha affermato che Delve potrebbe aver utilizzato revisori “timbratori” e dati falsificati per rilasciare certificazioni di sicurezza. Anche se Delve nega queste affermazioni, le conseguenze sono state significative, inclusa la perdita del suo rapporto con Y Combinator. In risposta all’esame accurato, LiteLLM ha abbandonato Delve e sta cercando nuove certificazioni di sicurezza tramite un altro fornitore.
Riepilogo
Mercor sta attualmente attraversando una tempesta perfetta fatta di massicci furti di dati, perdita di importanti clienti aziendali e crescenti sfide legali. L’incidente serve a ricordare duramente come una singola vulnerabilità in un popolare strumento open source possa mettere a repentaglio la sicurezza dell’intero ecosistema di sviluppo dell’intelligenza artificiale.
