数据泄露风波持续蔓延: Mercor 面临客户流失与法律诉讼双重压力
今年 3 月 31 日,人工智能数据训练初创公司 Mercor 正式对外承认遭受数据泄露攻击。这家六个月前刚完成 3.5 亿美元 C 轮融资、企业估值达 100 亿美元的公司,自此陷入持续至今的困境。
攻击链条
调查结果显示, Mercor 的数据泄露源头可追溯至开源工具 LiteLLM 。该工具每日下载量达数百万次,在遭受攻击的 40 分钟窗口期内,被植入了凭证窃取恶意软件。攻击者利用这批凭证层层渗透更多软件系统与账户,进而扩大窃取范围。虽无官方确认具体数据规模,但一个黑客组织已宣称获取了 Mercor 系统中的 4TB 数据,涵盖求职者档案、个人身份信息、雇主数据、源代码及 API 密钥。 Mercor 方面未对数据真实性置评,仅表示正在调查并将适时与客户和承包商直接沟通。
客户关系动摇
作为合约型人工智能数据训练服务商, Mercor 掌握着模型制造商的部分核心商业机密——包括定制数据集与模型训练流程。正是这些敏感信息的存在,使得即便 Meta 今年向 Mercor 的竞争对手 Scale AI 投入 143 亿美元,仍选择继续与 Mercor 合作。然而,数据泄露事件正在改变这一格局。据 Wired 报道, Meta 已无限期暂停与 Mercor 的合约。 OpenAI 则向 Wired 确认正在评估此次泄露的影响范围,但表示截至当时尚未暂停或终止合作。 TechCrunch 还从多个消息源处获悉,其他大型模型制造商同样在重新审视与 Mercor 的合作关系。
法律纠纷涌现
Business Insider 披露, Mercor 的五名承包商已提起诉讼,主张个人数据遭泄露。 TechCrunch 审查的一份诉状甚至将 LiteLLM 和安全认证服务商 Delve 列为被告。诉状指出, LiteLLM 借助 Delve 获取安全认证,而 Delve 已被匿名举报人指控在认证过程中伪造数据并使用“橡皮图章”式审计机构。 Delve 虽否认相关指控并已进行运营调整,但其处境同样艰难, Y Combinator 已宣布与该公司解除合作关系。 Mercor 方面已确认自身并非 Delve 的客户。
财务前景蒙尘
若泄露事件的连锁反应持续扩大, Mercor 的收入将面临显著风险。据 The Information 援引匿名消息人士报道,在数据泄露发生前, Mercor 今年的年化收入有望突破 10 亿美元大关。
创艺洞察
这起事件折射出人工智能供应链中一个被长期忽视的脆弱环节:当数据训练服务商成为行业基础设施的一部分时,其安全水位实际上决定了整个生态系统的风险底线。 LiteLLM 作为日下载量达数百万次的开源组件,在安全认证环节出现问题后能够迅速波及下游客户,这提醒业界重新审视开源工具的信任传导机制与供应链安全的边界。
