Ще півроку тому компанія Mercor була головним символом буму штучного інтелекту. Після масштабного раунду фінансування серії C на суму 350 мільйонів доларів цей стартап, який займається підготовкою даних для ІІ, досяг приголомшливої оцінки в 10 мільярдів доларів. Сьогодні це стрімке зростання змінилося низкою наростаючих криз, викликаних великим витоком даних.
Анатомія злому
31 березня Mercor визнала, що стала мішенню хакерів. З того часу хакерське угруповання заявило про крадіжку 4 ТБ даних. Хоча Mercor офіційно не підтвердила справжність вкрадених файлів, масштаб гаданого витоку руйнівний: повідомляється, що до неї увійшли:
- Профілі кандидатів та персональні дані (PII).
- Дані роботодавців та конфіденційні бізнес-записи.
- Пропрієтарний вихідний код та API-ключі.
Повідомляється, що злом став можливим завдяки вразливості в LiteLLM — інструменті з відкритим вихідним кодом, що широко використовується, який щодня скачують мільйони разів. Протягом 40 хвилин цей інструмент містив “шкідливе програмне забезпечення для збору облікових даних” – програму, призначену для крадіжки логінів і паролів. Це викликало ефект доміно: вкрадені облікові дані використовувалися для доступу до інших програм та облікових записів, що дозволило зловмисникам проникнути глибше в системи Mercor.
Наслідки: гіганти індустрії переглядають партнерство
У світі розробки ІІ компанії з підготовки даних, такі як Mercor, є не просто постачальниками послуг, а зберігачами комерційної таємниці. Вони керують спеціалізованими наборами даних та унікальними процесами, які дозволяють розробникам навчати свої моделі ІІ. Саме через цей високий рівень довіри такі компанії, як Meta, раніше співпрацювали з Mercor, навіть незважаючи на інвестиції у розмірі 14,3 мільярда доларів у її конкурента — Scale AI.
Однак тепер ця довіра проходить перевірку на міцність:
- Meta, за наявними даними, на невизначений термін призупинила свої контракти з Mercor.
- OpenAI в даний час розслідує ступінь можливої загрози для своїх даних після злому, хоча на даний момент не припиняла партнерство з Mercor.
- Інші великі розробники ІІ, як повідомляється, переглядають свої відносини з компанією, зважуючи ризики продовження співпраці.
Судові позови та скандал із «сертифікацією»
Криза переходить із цифрового простору до залів судів. Як мінімум п’ять підрядників подали позови проти Mercor, заявляючи про розкриття їхніх особистих даних.
Один із позовів створив складну ситуацію з розподілом відповідальності, оскільки відповідачами були названі не тільки Mercor, а й LiteLLM, а також Delve. Це підкреслює критичну проблему, що часто ігнорується, в технологічній індустрії: надійність сертифікатів безпеки.
Сертифікати безпеки покликані гарантувати, що компанії мають надійні процеси для мінімізації загроз, але вони не є магічним щитом від витончених атак.
Участь у справі Delve, стартапу із забезпечення відповідності стандартам ІІ, додала ще один шар скандалу. Інформатор стверджує, що Delve могла використати «формальних» аудиторів та фальсифікувати дані для видачі сертифікатів безпеки. Хоча Delve заперечує ці звинувачення, наслідки виявилися значними, включаючи розрив відносин із Y Combinator. У відповідь на пильну увагу з боку громадськості LiteLLM припинила співпрацю з Delve та шукає нові сертифікати безпеки в іншого провайдера.
Резюме
В даний момент Mercor знаходиться в епіцентрі «ідеального шторму»: масованого крадіжки даних, втрати найбільших корпоративних клієнтів та зростаючих юридичних проблем. Цей інцидент є суворим нагадуванням про те, як одна єдина вразливість у популярному інструменті з відкритим вихідним кодом може поставити під удар безпеку всієї екосистеми розробки ІІ.
