Еще полгода назад компания Mercor была главным символом бума искусственного интеллекта. После масштабного раунда финансирования серии C на сумму 350 миллионов долларов этот стартап, занимающийся подготовкой данных для ИИ, достиг ошеломляющей оценки в 10 миллиардов долларов. Сегодня этот стремительный рост сменился чередой нарастающих кризисов, вызванных крупной утечкой данных.
Анатомия взлома
31 марта Mercor признала, что стала мишенью хакеров. С тех пор хакерская группировка заявила о краже 4 ТБ данных. Хотя Mercor официально не подтвердила подлинность украденных файлов, масштаб предполагаемой утечки разрушителен: сообщается, что в нее вошли:
- Профили кандидатов и персональные данные (PII).
- Данные работодателей и конфиденциальные бизнес-записи.
- Проприетарный исходный код и API-ключи.
Сообщается, что взлом стал возможен благодаря уязвимости в LiteLLM — широко используемом инструменте с открытым исходным кодом, который ежедневно скачивают миллионы раз. В течение 40 минут этот инструмент содержал «вредоносное ПО для сбора учетных данных» — программу, предназначенную для кражи логинов и паролей. Это вызвало эффект домино: украденные учетные данные использовались для доступа к другим программам и аккаунтам, что позволило злоумышленникам проникнуть глубже в системы Mercor.
Последствия: гиганты индустрии пересматривают партнерство
В мире разработки ИИ компании по подготовке данных, такие как Mercor, являются не просто поставщиками услуг, а хранителями коммерческой тайны. Они управляют специализированными наборами данных и уникальными процессами, которые позволяют разработчикам обучать свои модели ИИ. Именно из-за этого высокого уровня доверия такие компании, как Meta, ранее сотрудничали с Mercor, даже несмотря на инвестиции в размере 14,3 миллиарда долларов в ее конкурента — Scale AI.
Однако теперь это доверие проходит проверку на прочность:
- Meta, по имеющимся данным, на неопределенный срок приостановила свои контракты с Mercor.
- OpenAI в настоящее время расследует степень возможной угрозы для своих данных после взлома, хотя на данный момент не прекращала партнерство с Mercor.
- Другие крупные разработчики ИИ, как сообщается, пересматривают свои отношения с компанией, взвешивая риски продолжения сотрудничества.
Судебные тяжбы и скандал с «сертификацией»
Кризис переходит из цифрового пространства в залы судов. Как минимум пять подрядчиков подали иски против Mercor, заявляя о раскрытии их личных данных.
Один из исков создал сложную ситуацию с распределением ответственности, поскольку ответчиками были названы не только Mercor, но и LiteLLM, а также Delve. Это подчеркивает критическую, часто игнорируемую проблему в технологической индустрии: надежность сертификатов безопасности.
Сертификаты безопасности призваны гарантировать, что у компаний есть надежные процессы для минимизации угроз, но они не являются магическим щитом от изощренных атак.
Участие в деле Delve, стартапа по обеспечению соответствия стандартам ИИ, добавило еще один слой скандала. Информатор утверждает, что Delve могла использовать «формальных» аудиторов и фальсифицировать данные для выдачи сертификатов безопасности. Хотя Delve отрицает эти обвинения, последствия оказались значительными, включая разрыв отношений с Y Combinator. В ответ на пристальное внимание со стороны общественности LiteLLM прекратила сотрудничество с Delve и ищет новые сертификаты безопасности у другого провайдера.
Резюме
В данный момент Mercor находится в эпицентре «идеального шторма»: массированной кражи данных, потери крупнейших корпоративных клиентов и растущих юридических проблем. Этот инцидент служит суровым напоминанием о том, как одна единственная уязвимость в популярном инструменте с открытым исходным кодом может поставить под удар безопасность всей экосистемы разработки ИИ.
