Meta 100億美元合作踩急剎：一個(gè)開源庫的投毒

去年10月，Mercor 剛以100億美元估值完成3.5億美元C輪融資，三位22歲的創(chuàng)始人成為全球最年輕的白手起家億萬富翁。六個(gè)月后，這家AI數(shù)據(jù)公司的名字出現(xiàn)在了一起可能改變行業(yè)規(guī)則的供應(yīng)鏈攻擊事件中心。

Wired 披露，攻擊者通過污染 LiteLLM 開源庫，不僅竊取了個(gè)人數(shù)據(jù)，還可能帶走了全球頂尖大語言模型的訓(xùn)練方法論。Meta 已無限期暫停與 Mercor 的合作，OpenAI 和 Anthropic 啟動(dòng)內(nèi)部調(diào)查，超過4萬人卷入集體訴訟。

被盯上的不是數(shù)據(jù)，是"怎么煉成的"

Mercor 的商業(yè)模式藏在AI產(chǎn)業(yè)鏈最隱秘的環(huán)節(jié)。它不生產(chǎn)模型，也不賣算力，而是招募工程師、律師、醫(yī)生、銀行家、記者組成的人類承包商網(wǎng)絡(luò)，為AI實(shí)驗(yàn)室定制高質(zhì)量訓(xùn)練數(shù)據(jù)——微調(diào)數(shù)據(jù)、強(qiáng)化學(xué)習(xí)反饋、領(lǐng)域?qū)I(yè)知識標(biāo)注。

這些正是大模型廠商極少公開討論的"黑箱"。你看到的GPT-4或Claude的驚艷表現(xiàn)，底層有多少輪人類反饋強(qiáng)化學(xué)習(xí)（RLHF）、如何設(shè)計(jì)獎(jiǎng)勵(lì)函數(shù)、怎樣篩選和加權(quán)訓(xùn)練樣本，屬于比模型權(quán)重更核心的商業(yè)機(jī)密。

攻擊路徑像一次精準(zhǔn)的供應(yīng)鏈狙擊。Wiz、Snyk 和 Datadog Security Labs 的聯(lián)合分析顯示，名為 TeamPCP 的威脅組織先攻陷了 LiteLLM 的 CI/CD 流水線。這個(gè)Python庫月下載量9700萬次，估計(jì)存在于36%的云環(huán)境中，被數(shù)百萬開發(fā)者用于連接應(yīng)用與AI服務(wù)。

TeamPCP 在庫中植入惡意代碼，當(dāng) Mercor 的工程師像往常一樣更新依賴時(shí)，后門隨之進(jìn)入其系統(tǒng)。攻擊者潛伏期間收集的不僅是員工個(gè)人信息，更包括客戶項(xiàng)目文檔、數(shù)據(jù)標(biāo)注指南、質(zhì)量評估標(biāo)準(zhǔn)——也就是"如何復(fù)制一個(gè)GPT-4"的操作手冊。

22歲億萬富翁的供應(yīng)鏈賭局

Brendan Foody、Adarsh Hiremath 和 Surya Midha 的創(chuàng)業(yè)故事自帶硅谷神話濾鏡。三人是灣區(qū) Bellarmine College Preparatory 高中演講辯論隊(duì)隊(duì)友，2023年輟學(xué)創(chuàng)辦 Mercor，兩年內(nèi)從0做到5億美元年化收入。

這種增速甚至超過了同期的大多數(shù)AI基礎(chǔ)設(shè)施公司。Mercor 的秘訣在于切中了模型廠商的集體焦慮：公開數(shù)據(jù)集已經(jīng)卷到頭，真正拉開差距的是私有、高質(zhì)量、領(lǐng)域?qū)＞挠?xùn)練數(shù)據(jù)。OpenAI 需要醫(yī)生標(biāo)注病歷理解臨床推理，Anthropic 需要律師評估憲法AI的安全性，Meta 需要多語言母語者優(yōu)化 Llama 的方言表現(xiàn)——這些都無法靠爬取互聯(lián)網(wǎng)解決。

但高度定制化意味著深度嵌入客戶流程。Mercor 的承包商往往需要簽署嚴(yán)格的保密協(xié)議，訪問內(nèi)部標(biāo)注工具，甚至遠(yuǎn)程登錄客戶的基礎(chǔ)設(shè)施。這種耦合在提升數(shù)據(jù)質(zhì)量的同時(shí)，也將自身變成了供應(yīng)鏈中的高價(jià)值目標(biāo)。

攻擊曝光后，Meta 的反應(yīng)迅速且罕見。一位接近該公司的消息人士向 Wired 表示，暫停合作是"預(yù)防性措施"，直到 Mercor 完成全面的安全審計(jì)?？紤]到 Meta 正在全力推進(jìn) Llama 4 的訓(xùn)練，任何訓(xùn)練方法論泄露都可能讓數(shù)十億美元的研發(fā)投入面臨被競爭對手逆向工程的風(fēng)險(xiǎn)。

開源生態(tài)的信任危機(jī)

LiteLLM 的污染事件撕開了AI開發(fā)工具鏈的一個(gè)長期隱患。這個(gè)庫本身設(shè)計(jì)精巧：用統(tǒng)一接口封裝了上百種大模型API，讓開發(fā)者可以用同一套代碼切換 OpenAI、Anthropic、Google 或本地模型。它的流行恰恰源于這種"基礎(chǔ)設(shè)施"屬性——你很少直接感知到它，但它無處不在。

TeamPCP 的攻擊手法并不新奇，但目標(biāo)選擇極具針對性。CI/CD 流水線是現(xiàn)代軟件開發(fā)的主動(dòng)脈，一旦淪陷，惡意代碼可以隨正常版本發(fā)布流程進(jìn)入無數(shù)下游系統(tǒng)。更棘手的是，開源庫的維護(hù)者往往是個(gè)人開發(fā)者或小團(tuán)隊(duì)，安全投入與其實(shí)際影響力嚴(yán)重不匹配。

Datadog Security Labs 的研究人員指出，LiteLLM 的代碼庫在過去六個(gè)月經(jīng)歷了爆發(fā)式增長，功能迭代速度遠(yuǎn)超安全審查能力。這種"先跑起來再治理"的模式在創(chuàng)業(yè)公司是常態(tài)，但當(dāng)你的用戶包括 Mercor 這類處理頂級AI機(jī)密的企業(yè)時(shí)，風(fēng)險(xiǎn)敞口就變成了行業(yè)級問題。

OpenAI 和 Anthropic 的跟進(jìn)調(diào)查表明，擔(dān)憂正在蔓延。兩家公司均未公開評論，但內(nèi)部安全團(tuán)隊(duì)被曝正在梳理與 Mercor 相關(guān)的所有數(shù)據(jù)交換記錄，評估是否存在訓(xùn)練機(jī)密外泄。對于依賴 RLHF 等專有技術(shù)建立護(hù)城河的大模型廠商，這比普通數(shù)據(jù)泄露嚴(yán)重得多——你可以重新訓(xùn)練模型，但無法收回已經(jīng)泄露的方法論。

集體訴訟背后的身份悖論

超過4萬人加入的集體訴訟，將事件推向了另一個(gè)維度。原告律師指控 Mercor 未能妥善保護(hù)承包商個(gè)人信息，包括真實(shí)姓名、專業(yè)背景、銀行賬戶細(xì)節(jié)，以及——最具爭議的部分——他們在標(biāo)注工作中接觸到的客戶項(xiàng)目信息。

這觸及了AI數(shù)據(jù)經(jīng)濟(jì)的結(jié)構(gòu)性矛盾。Mercor 的承包商既是勞動(dòng)者，也是訓(xùn)練數(shù)據(jù)的來源；他們簽署保密協(xié)議保護(hù)客戶機(jī)密，但自身權(quán)益保護(hù)卻處于灰色地帶。一位參與訴訟的前醫(yī)學(xué)標(biāo)注員向 Wired 透露，她從未被告知自己的標(biāo)注樣本會被用于哪些具體模型，更不知道這些工作文檔的存儲安全級別。

訴訟文件顯示，攻擊者獲取的部分?jǐn)?shù)據(jù)包括標(biāo)注員的內(nèi)部績效評分、與客戶AI系統(tǒng)的交互日志，以及——在某些項(xiàng)目中——他們用于評估模型輸出的參考標(biāo)準(zhǔn)答案。這些信息組合起來，足以推斷出特定大模型在特定任務(wù)上的能力邊界和失敗模式。

Mercor 在聲明中表示正在"配合執(zhí)法機(jī)構(gòu)調(diào)查，并加強(qiáng)安全措施"，但未回應(yīng)關(guān)于訓(xùn)練方法論泄露的具體詢問。公司官網(wǎng)仍在正常運(yùn)營，繼續(xù)招募"全球頂尖AI人才"加入其承包商網(wǎng)絡(luò)。