Há apenas seis meses, Mercor era o exemplo do boom da IA. Após uma enorme rodada de financiamento da Série C de US$ 350 milhões, a startup de treinamento de dados de IA atingiu uma impressionante avaliação de US$ 10 bilhões. Hoje, esse impulso foi substituído por uma série de crises crescentes na sequência de uma grande violação de dados.
A anatomia da violação
Em 31 de março, a Mercor admitiu ter sido alvo de hackers. Desde então, um grupo de hackers alegou ter exfiltrado 4 TB de dados roubados. Embora a Mercor não tenha confirmado oficialmente a autenticidade dos arquivos roubados, o suposto roubo é devastador, supostamente incluindo:
- Perfis de candidatos e informações de identificação pessoal (PII).
- Dados do empregador e registros comerciais confidenciais.
- Código-fonte proprietário e Chaves de API.
A violação teria sido facilitada por uma vulnerabilidade no LiteLLM, uma ferramenta de código aberto amplamente usada, baixada milhões de vezes por dia. Por um período de 40 minutos, a ferramenta continha “malware de coleta de credenciais” – software malicioso projetado para roubar credenciais de login. Isto criou um efeito dominó, onde credenciais roubadas foram usadas para acessar outros softwares e contas, permitindo que os invasores se aprofundassem nos sistemas da Mercor.
The Fallout: Gigantes da indústria reconsiderando parcerias
No mundo do desenvolvimento de IA, empresas de formação em dados como a Mercor são mais do que apenas prestadores de serviços; eles são guardiões de segredos comerciais. Eles gerenciam conjuntos de dados personalizados e processos exclusivos que permitem aos criadores de modelos treinar sua IA. Este elevado nível de confiança é a razão pela qual empresas como a Meta trabalharam anteriormente com a Mercor, mesmo depois de investirem 14,3 mil milhões de dólares na sua concorrente, a Scale AI.
No entanto, essa confiança está agora sendo testada:
- Meta supostamente suspendeu seus contratos com a Mercor indefinidamente.
- OpenAI está atualmente investigando sua própria exposição após a violação, embora ainda não tenha encerrado sua parceria com a Mercor.
- Outros grandes desenvolvedores de IA estão supostamente revisando seus relacionamentos com a empresa enquanto avaliam os riscos da colaboração contínua.
Batalhas legais e a controvérsia da “certificação”
A crise está a passar do domínio digital para os tribunais. Pelo menos cinco empresas contratadas entraram com ações judiciais contra a Mercor, alegando a exposição de seus dados pessoais.
Um processo específico introduziu uma rede complexa de responsabilidades ao nomear não apenas a Mercor, mas também LiteLLM e Delve como réus. Isso destaca uma questão crítica e muitas vezes esquecida na indústria de tecnologia: a confiabilidade das certificações de segurança.
As certificações de segurança têm como objetivo garantir que as empresas tenham processos robustos para minimizar ameaças, mas não são um escudo mágico contra ataques sofisticados.
A inclusão da Delve, uma startup de conformidade com IA, acrescenta uma camada de controvérsia. Um denunciante alegou que Delve pode ter usado auditores “carimbados” e dados falsificados para emitir certificações de segurança. Embora a Delve negue essas alegações, as consequências foram significativas, incluindo a perda de seu relacionamento com o Y Combinator. Em resposta ao escrutínio, a LiteLLM abandonou o Delve e está buscando novas certificações de segurança através de um fornecedor diferente.
Resumo
A Mercor está atualmente a navegar numa tempestade perfeita de roubo massivo de dados, perda de grandes clientes empresariais e desafios legais crescentes. O incidente serve como um lembrete claro de como uma única vulnerabilidade em uma ferramenta popular de código aberto pode comprometer a segurança de todo o ecossistema de desenvolvimento de IA.
