關(guān)鍵詞

黑客

據(jù)外媒 Business Insider 昨日?qǐng)?bào)道，美國(guó) AI 訓(xùn)練數(shù)據(jù)平臺(tái) Mercor 遭黑客攻擊，超過(guò) 4 萬(wàn)人的個(gè)人信息因此泄露，一周內(nèi)被多名承包商在美國(guó)多地提起至少五起訴訟，指控其未能妥善保護(hù)個(gè)人敏感信息。

Meta 已于 4 月 4 日暫停與該公司的全部合作，恢復(fù)時(shí)間未定；OpenAI 同日稱其正在調(diào)查專有訓(xùn)練數(shù)據(jù)是否受到波及。

這起事件起源于 3 月 27 日一場(chǎng)針對(duì)開源工具 LiteLLM 的供應(yīng)鏈攻擊，黑客組織 TeamPCP 通過(guò)植入惡意代碼，在線上存續(xù)約 40 分鐘內(nèi)竊取受感染企業(yè)的云賬號(hào)密鑰、數(shù)據(jù)庫(kù)密碼及服務(wù)器訪問(wèn)憑證。

在 Mercor3 月 31 日確認(rèn)泄露同日，另一個(gè)黑客組織 Lapsus$ 宣稱掌握 4TB 的 Mercor 數(shù)據(jù)，包括源代碼、數(shù)據(jù)庫(kù)記錄和視頻資料，并在暗網(wǎng)上公開叫賣。

在 Telegram 上掛牌出售的 Mercor 數(shù)據(jù)截圖

Mercor 成立于 2023 年，其客戶涵蓋 Anthropic、OpenAI 及 Meta，主要招募醫(yī)學(xué)、法律、文學(xué)等領(lǐng)域的專家，為 AI 公司的模型訓(xùn)練提供數(shù)據(jù)。該公司估值達(dá) 100 億美元（約合人民幣 686.8 億元）。

此次泄露之所以令各家 AI 大廠緊張，不只是因?yàn)閭€(gè)人數(shù)據(jù)外泄，更是因?yàn)?Mercor 同時(shí)身處多家競(jìng)爭(zhēng)對(duì)手的數(shù)據(jù)流水線之中，一旦數(shù)據(jù)選擇標(biāo)準(zhǔn)、標(biāo)注規(guī)范、訓(xùn)練策略等核心方法論細(xì)節(jié)被競(jìng)爭(zhēng)對(duì)手獲取，各家公司耗費(fèi)數(shù)年、數(shù)十億美元構(gòu)筑的技術(shù)護(hù)城河將面臨威脅。

事件發(fā)酵至今不足兩周，Mercor 已在美國(guó)多地收到五起訴訟。訴狀指控該公司網(wǎng)絡(luò)安全防護(hù)措施嚴(yán)重不達(dá)標(biāo)。

一、三位 22 歲創(chuàng)始人的百億帝國(guó)，在 AI 供應(yīng)鏈安全的薄弱處被擊中

Mercor 由布倫丹 · 福迪（Brendan Foody）、阿達(dá)什 · 海爾馬斯（Adarsh Hiremath）和蘇利亞 · 米達(dá)（Surya Midha）三人于 2023 年創(chuàng)立，三人均畢業(yè)于舊金山灣區(qū)貝拉明預(yù)科學(xué)院，曾是同一支辯論隊(duì)的隊(duì)友。

Mercor 三位創(chuàng)始人阿達(dá)什 · 海爾馬斯（Adarsh Hiremath，左）、布倫丹 · 福迪（Brendan Foody，中）和蘇利亞 · 米達(dá)（Surya Midha，右）（圖源：Global Indian Times）

2025 年 10 月，Mercor 完成由風(fēng)險(xiǎn)投資機(jī)構(gòu) Felicis Ventures 領(lǐng)投的 3.5 億美元（約合人民幣 24.038 億元）C 輪融資，估值達(dá) 100 億美元（約合人民幣 686.8 億元）。該公司三位創(chuàng)始人以 22 歲之齡同時(shí)躋身福布斯認(rèn)定的全球最年輕的白手起家十億美元富翁行列。

Mercor 的商業(yè)模式是做 AI 大廠與領(lǐng)域?qū)＜抑g的橋梁，負(fù)責(zé)招募醫(yī)生、律師、科學(xué)家、記者等各類專業(yè)人士，為 AI 公司生產(chǎn)高度定制化的訓(xùn)練數(shù)據(jù)，每日結(jié)算額規(guī)模超百萬(wàn)美元。

Wired4 月 4 日?qǐng)?bào)道揭示了一個(gè)內(nèi)部代號(hào)為 "Chordus" 的 Meta 項(xiàng)目，目標(biāo)是訓(xùn)練 AI 模型利用多個(gè)網(wǎng)絡(luò)來(lái)源核實(shí)信息，而這個(gè)項(xiàng)目目前已因攻擊事件被迫暫停。

正是因?yàn)樘幱谶@一節(jié)點(diǎn)，Mercor 的數(shù)據(jù)泄露后果格外棘手。多家機(jī)構(gòu)共用同一家數(shù)據(jù)供應(yīng)商，意味著一次攻擊就能同時(shí)觸及多家競(jìng)爭(zhēng)企業(yè)的機(jī)密。

The Next Web 指出，訓(xùn)練數(shù)據(jù)集或許可以復(fù)制，但訓(xùn)練方法論幾乎不可能，而后者正是這次泄露最令人擔(dān)憂的部分。

二、40 分鐘的窗口期，一個(gè)開源工具撬動(dòng)整個(gè) AI 供應(yīng)鏈

這起攻擊的技術(shù)核心是 LiteLLM，一款用于將各類應(yīng)用程序接入 AI 服務(wù)的開源 Python 庫(kù)，每月下載量約 9700 萬(wàn)次，廣泛存在于全球約 36% 的云環(huán)境中。安全公司 Snyk 的數(shù)據(jù)顯示，LiteLLM 每天被下載數(shù)百萬(wàn)次。

LiteLLM 供應(yīng)鏈攻擊技術(shù)流程圖（圖源：GitGuardian）

3 月 27 日，攻擊者 TeamPCP 使用被盜的開發(fā)者憑證，向 Python 包索引（PyPI）發(fā)布了 LiteLLM 的兩個(gè)惡意版本（1.82.7 和 1.82.8），這兩個(gè)版本在被檢測(cè)發(fā)現(xiàn)、下架之前，在線上存續(xù)了約 40 分鐘。

針對(duì)開源工具 LiteLLM 的供應(yīng)鏈攻擊示意圖（圖源：Medium）

然而這短短 40 分鐘足以讓大量企業(yè)下載并部署受感染的版本。安全研究人員將此次攻擊的源頭追溯至更早期針對(duì)安全工具 Trivy 的入侵，攻擊者 TeamPCP 通過(guò)攻破 Trivy，獲取了 LiteLLM 維護(hù)者的開發(fā)賬號(hào)憑證，再憑借這些憑證直接登錄 PyPI 發(fā)布了惡意版本。

Mercor 在 3 月 31 日向內(nèi)部員工發(fā)送的郵件中承認(rèn)：" 近期發(fā)生了一起影響我們系統(tǒng)和全球數(shù)千家機(jī)構(gòu)的安全事件。"

該公司發(fā)言人海蒂 · 哈格伯格（Heidi Hagberg）告訴 TechCrunch，安全團(tuán)隊(duì)已迅速采取措施遏制和修復(fù)事件，并引入第三方法證專家展開調(diào)查，但她拒絕就 Lapsus$ 的聲索或是否有客戶數(shù)據(jù)被實(shí)際竊取等具體問(wèn)題作答。

以社會(huì)工程和憑證盜竊著稱的老牌勒索黑客組織 Lapsus$，隨后在其泄露站點(diǎn)上公開聲稱已入侵 Mercor，并在暗網(wǎng)上掛出拍賣帖，聲稱持有 4TB 的 Mercor 數(shù)據(jù)，包括逾 200GB 的數(shù)據(jù)庫(kù)、約 939GB 的源代碼、3TB 的視頻和驗(yàn)證數(shù)據(jù)，以及該公司 TailScale VPN 賬戶的全部數(shù)據(jù)。

TechCrunch 發(fā)現(xiàn) Lapsus$ 發(fā)布的部分樣本，其中包含疑似來(lái)自 Mercor 內(nèi)部 Slack 的數(shù)據(jù)、工單記錄，以及兩段據(jù)稱展示 Mercor AI 系統(tǒng)與承包商對(duì)話的視頻。

三、Meta 無(wú)限期暫停合作，承包商突然失去收入來(lái)源

據(jù) Wired 援引兩名知情人士，Meta 已暫停與 Mercor 的全部合作，且暫停期限不定。Meta 對(duì)此未有任何公開聲明。

OpenAI 發(fā)言人告訴 Wired，OpenAI 正就其專有訓(xùn)練數(shù)據(jù)在此次事件中可能遭泄露的情況展開調(diào)查，并強(qiáng)調(diào)此次事件不影響任何用戶數(shù)據(jù)，OpenAI 目前也沒(méi)有暫停與 Mercor 合作的計(jì)劃。

Anthropic 沒(méi)有就外界的采訪請(qǐng)求作出回應(yīng)。谷歌同樣在評(píng)估此次泄露的波及范圍。

這場(chǎng)合作暫停對(duì) Mercor 旗下承包商造成了直接沖擊。據(jù) Wired 發(fā)現(xiàn)的內(nèi)部通訊，參與 Meta 相關(guān)項(xiàng)目的承包商在暫停期間無(wú)法記錄工時(shí)，實(shí)際上已處于失業(yè)狀態(tài)。

AI 訓(xùn)練數(shù)據(jù)標(biāo)注工作場(chǎng)景（圖源：Getty Images）

Mercor 試圖將受影響的承包商調(diào)配至其他項(xiàng)目，但據(jù)知情人士透露，這些承包商起初甚至不知道合作被叫停的原因。

法律層面的事態(tài)發(fā)展迅速。4 月 1 日，夏威夷瓦希阿瓦居民麗莎 · 吉爾（Lisa Gill）向美國(guó)加利福尼亞州北區(qū)聯(lián)邦地區(qū)法院提起集體訴訟，稱自己為處理此次泄露事件的后續(xù)問(wèn)題耗費(fèi)了大量時(shí)間，且面臨更高的身份盜竊風(fēng)險(xiǎn)。

另一名承包商納蒂維亞 · 埃森（NaTivia Esson）也遞交了訴狀，她自稱于 2025 年 3 月至 2026 年 3 月間為 Mercor 工作，每次接單都需填寫含個(gè)人信息的 W-9 稅表，并 " 相信公司會(huì)采取合理措施保護(hù)這些信息 "。

一周內(nèi)，Mercor 共收到五起訴訟。其中一起還將 Berrie AI 和合規(guī)機(jī)構(gòu) Delve Technologies 一并列為被告，LiteLLM 由 AI 開發(fā)工具公司 Berrie AI 開發(fā)，此前持有由自動(dòng)化合規(guī)認(rèn)證機(jī)構(gòu) Delve Technologies 出具的 SOC2 和 ISO 27001 安全認(rèn)證，訴狀指控前者提供了存在安全漏洞的工具，后者出具了不實(shí)的安全認(rèn)證背書。

上個(gè)月，Delve 曾公開否認(rèn)一篇匿名 Substack 文章中關(guān)于其協(xié)助偽造合規(guī)、安排虛假安全審計(jì)的指控。

根據(jù)法律研究機(jī)構(gòu) Cornerstone Research 對(duì) 2018 年至 2021 年間數(shù)據(jù)泄露和解案例的統(tǒng)計(jì)，此類案件賠償金額通常在每位集體成員 1 至 5 美元（約合人民幣 6.87 至 34.3 元）之間，有記錄經(jīng)濟(jì)損失的受害者有時(shí)可獲更多賠償。

結(jié)語(yǔ)：AI 數(shù)據(jù)外包暗藏結(jié)構(gòu)性風(fēng)險(xiǎn)，一次攻擊影響多家頂級(jí)實(shí)驗(yàn)室的護(hù)城河

目前，案件調(diào)查仍在進(jìn)行，訴訟尚處早期階段。這場(chǎng)針對(duì) Mercor 的攻擊暴露出 AI 產(chǎn)業(yè)一個(gè)結(jié)構(gòu)性盲點(diǎn)。當(dāng)多家頂級(jí) AI 實(shí)驗(yàn)室將敏感的訓(xùn)練工作外包給同一家供應(yīng)商時(shí)，這家供應(yīng)商自身的安全漏洞就成了整個(gè)行業(yè)的共同風(fēng)險(xiǎn)暴露點(diǎn)。

安全公司 Recorded Future 的勒索軟件分析師艾倫 · 利斯卡（Allan Liska）說(shuō)，攻擊者 TeamPCP 的動(dòng)機(jī)明確是金錢驅(qū)動(dòng)，并已公開表示將與勒索軟件和勒索團(tuán)伙合作，針對(duì)受影響企業(yè)發(fā)起規(guī)?；?。相比 2023 年 Cl0p 組織利用 MOVEit 漏洞一次性影響近 1 億人的案例，AI 訓(xùn)練數(shù)據(jù)領(lǐng)域的供應(yīng)鏈攻擊在商業(yè)損害維度上各有不同。

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！