Mercor数据泄露事件暴露4TB数据,源于LiteLLM被黑
TechCrunch AI··作者 Julie Bort
关键信息
该漏洞利用了LiteLLM中存在恶意软件的40分钟窗口期,用于窃取凭证并访问更多系统。Mercor并非AI合规公司Delve的客户,但诉讼已将LiteLLM和Delve列为被告。
资讯摘要
价值100亿美元的Mercor公司正因一起重大数据泄露事件而陷入困境,4TB敏感信息(包括源代码、API密钥和个人数据)遭到曝光。此次泄露源于对广泛使用的开源工具LiteLLM的攻击——该工具为超过100个大语言模型提供统一接口。黑客在LiteLLM中植入凭证窃取恶意软件长达40分钟,使攻击者得以访问Mercor系统。
Meta已暂停与Mercor的合作,OpenAI正在调查潜在影响。多名承包商已提起诉讼,此事也引发了对开源工具安全性和第三方合规认证(如Delve公司)的广泛关注,后者本身正面临伪造认证的指控。
资讯正文
六个月前,AI数据训练初创公司Mercor刚刚完成了一轮规模达3.5亿美元的C轮融资,估值高达100亿美元。但自3月31日承认遭遇数据泄露事件以来,该公司便陷入了重重麻烦。
自此之后,一个黑客组织声称已从Mercor系统中窃取了4TB的数据,包括候选人资料、个人身份信息、雇主数据、源代码和API密钥。Mercor尚未对这些数据的真实性作出评论,仅重申正在调查此事,并表示将“适时直接与客户和承包商沟通,并投入必要资源尽快解决该问题”。
Mercor表示,此次数据泄露源于其使用的开源工具LiteLLM遭到攻击。这个工具极为流行,每天被下载数百万次。在40分钟内,该工具曾携带用于窃取凭证的恶意软件——一种可盗取登录凭据的非法程序。这些凭据随后被用来访问更多软件和账户,进而继续窃取更多凭证,如此循环。
尽管目前尚无官方确认具体有多少数据被窃取,但已产生明显后果。据《连线》杂志消息,Meta已无限期暂停与Mercor的合作合同。(Mercor拒绝就此事向TechCrunch发表评论。)
与其他从事AI模型数据训练的公司一样,Mercor处理着各大模型制造商最核心的秘密:他们用来训练模型的定制数据集和流程。这一点至关重要,以至于即便Meta斥资143亿美元收购了Mercor的竞争对手Scale AI后,仍继续与Mercor合作。
对Mercor而言,有一点好消息(也许吧……我们拭目以待):OpenAI也向《连线》证实正在调查其在Mercor泄露事件中的暴露情况,但当时并未暂停或终止合作。不过,TechCrunch从多位消息人士处获悉,其他几家大型模型开发商也可能正在重新评估与Mercor的关系,尽管截至目前我们尚未掌握足够细节来披露具体名称。
与此同时,据《商业内幕》报道,已有五名Mercor的承包商提起诉讼,指控其个人信息遭泄露。这些诉讼是否构成严重威胁,还是纯粹出于机会主义的骚扰行为,仍有待观察。(Mercor同样拒绝就此发表评论。)
本周特惠:注册TechCrunch Disrupt 2026最高可省500美元
优惠截止时间:4月10日晚上11:59(太平洋时间)
你的下一轮融资、下一个招聘机会、下一个突破性机遇——尽在TechCrunch Disrupt 2026,这里汇聚超过一万名创始人、投资人和技术领袖,为期三天的250多场实战研讨会、有力的资源对接和定义市场的创新展示。立即注册以锁定优惠。
其中一份由TechCrunch审阅的诉状甚至将LiteLLM和Delve列为被告。这非常大胆,或许有些牵强,但背后存在这样的关联:LiteLLM曾借助AI合规初创公司Delve获取安全认证;而Delve则被匿名举报者指控伪造数据用于安全认证,并使用敷衍了事的审计机构进行审核。
安全认证并不能直接阻止黑客发动成功的攻击,但其目的是确保公司已建立流程以最大限度地降低此类威胁。
尽管Delve在否认相关指控的同时实施了运营变更,但它自身仍陷入困境,以至于Y Combinator已与该公司断绝关系。
LiteLLM已放弃使用Delve,并转而与另一家AI合规初创企业合作重新获取安全认证。LiteLLM还发布了一份关于此次安全事件的完整报告。
但Mercor公司确认自己并非Delve的客户。然而,如果Mercor后续受到影响,大量收入可能面临风险。一位匿名消息人士告诉《信息》(The Information),该公司在今年早些时候原本有望实现年化收入超过10亿美元。
来源与参考
收录于 2026-04-10