【安全圈】AI 數(shù)據(jù)獨角獸遭黑客攻擊，一周內吃了 5 場官司，Meta 緊急暫停合作

關鍵詞

黑客

據(jù)外媒 Business Insider 昨日報道，美國 AI 訓練數(shù)據(jù)平臺 Mercor 遭黑客攻擊，超過 4 萬人的個人信息因此泄露，一周內被多名承包商在美國多地提起至少五起訴訟，指控其未能妥善保護個人敏感信息。

Meta 已于 4 月 4 日暫停與該公司的全部合作，恢復時間未定；OpenAI 同日稱其正在調查專有訓練數(shù)據(jù)是否受到波及。

這起事件起源于 3 月 27 日一場針對開源工具 LiteLLM 的供應鏈攻擊，黑客組織 TeamPCP 通過植入惡意代碼，在線上存續(xù)約 40 分鐘內竊取受感染企業(yè)的云賬號密鑰、數(shù)據(jù)庫密碼及服務器訪問憑證。

在 Mercor3 月 31 日確認泄露同日，另一個黑客組織 Lapsus$ 宣稱掌握 4TB 的 Mercor 數(shù)據(jù)，包括源代碼、數(shù)據(jù)庫記錄和視頻資料，并在暗網(wǎng)上公開叫賣。

在 Telegram 上掛牌出售的 Mercor 數(shù)據(jù)截圖

Mercor 成立于 2023 年，其客戶涵蓋 Anthropic、OpenAI 及 Meta，主要招募醫(yī)學、法律、文學等領域的專家，為 AI 公司的模型訓練提供數(shù)據(jù)。該公司估值達 100 億美元（約合人民幣 686.8 億元）。

此次泄露之所以令各家 AI 大廠緊張，不只是因為個人數(shù)據(jù)外泄，更是因為 Mercor 同時身處多家競爭對手的數(shù)據(jù)流水線之中，一旦數(shù)據(jù)選擇標準、標注規(guī)范、訓練策略等核心方法論細節(jié)被競爭對手獲取，各家公司耗費數(shù)年、數(shù)十億美元構筑的技術護城河將面臨威脅。

事件發(fā)酵至今不足兩周，Mercor 已在美國多地收到五起訴訟。訴狀指控該公司網(wǎng)絡安全防護措施嚴重不達標。

一、三位 22 歲創(chuàng)始人的百億帝國，在 AI 供應鏈安全的薄弱處被擊中

Mercor 由布倫丹 · 福迪（Brendan Foody）、阿達什 · 海爾馬斯（Adarsh Hiremath）和蘇利亞 · 米達（Surya Midha）三人于 2023 年創(chuàng)立，三人均畢業(yè)于舊金山灣區(qū)貝拉明預科學院，曾是同一支辯論隊的隊友。

Mercor 三位創(chuàng)始人阿達什 · 海爾馬斯（Adarsh Hiremath，左）、布倫丹 · 福迪（Brendan Foody，中）和蘇利亞 · 米達（Surya Midha，右）（圖源：Global Indian Times）

2025 年 10 月，Mercor 完成由風險投資機構 Felicis Ventures 領投的 3.5 億美元（約合人民幣 24.038 億元）C 輪融資，估值達 100 億美元（約合人民幣 686.8 億元）。該公司三位創(chuàng)始人以 22 歲之齡同時躋身福布斯認定的全球最年輕的白手起家十億美元富翁行列。

Mercor 的商業(yè)模式是做 AI 大廠與領域專家之間的橋梁，負責招募醫(yī)生、律師、科學家、記者等各類專業(yè)人士，為 AI 公司生產高度定制化的訓練數(shù)據(jù)，每日結算額規(guī)模超百萬美元。

Wired4 月 4 日報道揭示了一個內部代號為 "Chordus" 的 Meta 項目，目標是訓練 AI 模型利用多個網(wǎng)絡來源核實信息，而這個項目目前已因攻擊事件被迫暫停。

正是因為處于這一節(jié)點，Mercor 的數(shù)據(jù)泄露后果格外棘手。多家機構共用同一家數(shù)據(jù)供應商，意味著一次攻擊就能同時觸及多家競爭企業(yè)的機密。

The Next Web 指出，訓練數(shù)據(jù)集或許可以復制，但訓練方法論幾乎不可能，而后者正是這次泄露最令人擔憂的部分。

二、40 分鐘的窗口期，一個開源工具撬動整個 AI 供應鏈

這起攻擊的技術核心是 LiteLLM，一款用于將各類應用程序接入 AI 服務的開源 Python 庫，每月下載量約 9700 萬次，廣泛存在于全球約 36% 的云環(huán)境中。安全公司 Snyk 的數(shù)據(jù)顯示，LiteLLM 每天被下載數(shù)百萬次。

LiteLLM 供應鏈攻擊技術流程圖（圖源：GitGuardian）

3 月 27 日，攻擊者 TeamPCP 使用被盜的開發(fā)者憑證，向 Python 包索引（PyPI）發(fā)布了 LiteLLM 的兩個惡意版本（1.82.7 和 1.82.8），這兩個版本在被檢測發(fā)現(xiàn)、下架之前，在線上存續(xù)了約 40 分鐘。

針對開源工具 LiteLLM 的供應鏈攻擊示意圖（圖源：Medium）

然而這短短 40 分鐘足以讓大量企業(yè)下載并部署受感染的版本。安全研究人員將此次攻擊的源頭追溯至更早期針對安全工具 Trivy 的入侵，攻擊者 TeamPCP 通過攻破 Trivy，獲取了 LiteLLM 維護者的開發(fā)賬號憑證，再憑借這些憑證直接登錄 PyPI 發(fā)布了惡意版本。

Mercor 在 3 月 31 日向內部員工發(fā)送的郵件中承認：" 近期發(fā)生了一起影響我們系統(tǒng)和全球數(shù)千家機構的安全事件。"

該公司發(fā)言人海蒂 · 哈格伯格（Heidi Hagberg）告訴 TechCrunch，安全團隊已迅速采取措施遏制和修復事件，并引入第三方法證專家展開調查，但她拒絕就 Lapsus$ 的聲索或是否有客戶數(shù)據(jù)被實際竊取等具體問題作答。

以社會工程和憑證盜竊著稱的老牌勒索黑客組織 Lapsus$，隨后在其泄露站點上公開聲稱已入侵 Mercor，并在暗網(wǎng)上掛出拍賣帖，聲稱持有 4TB 的 Mercor 數(shù)據(jù)，包括逾 200GB 的數(shù)據(jù)庫、約 939GB 的源代碼、3TB 的視頻和驗證數(shù)據(jù)，以及該公司 TailScale VPN 賬戶的全部數(shù)據(jù)。

TechCrunch 發(fā)現(xiàn) Lapsus$ 發(fā)布的部分樣本，其中包含疑似來自 Mercor 內部 Slack 的數(shù)據(jù)、工單記錄，以及兩段據(jù)稱展示 Mercor AI 系統(tǒng)與承包商對話的視頻。

三、Meta 無限期暫停合作，承包商突然失去收入來源

據(jù) Wired 援引兩名知情人士，Meta 已暫停與 Mercor 的全部合作，且暫停期限不定。Meta 對此未有任何公開聲明。

OpenAI 發(fā)言人告訴 Wired，OpenAI 正就其專有訓練數(shù)據(jù)在此次事件中可能遭泄露的情況展開調查，并強調此次事件不影響任何用戶數(shù)據(jù)，OpenAI 目前也沒有暫停與 Mercor 合作的計劃。

Anthropic 沒有就外界的采訪請求作出回應。谷歌同樣在評估此次泄露的波及范圍。

這場合作暫停對 Mercor 旗下承包商造成了直接沖擊。據(jù) Wired 發(fā)現(xiàn)的內部通訊，參與 Meta 相關項目的承包商在暫停期間無法記錄工時，實際上已處于失業(yè)狀態(tài)。

AI 訓練數(shù)據(jù)標注工作場景（圖源：Getty Images）

Mercor 試圖將受影響的承包商調配至其他項目，但據(jù)知情人士透露，這些承包商起初甚至不知道合作被叫停的原因。

法律層面的事態(tài)發(fā)展迅速。4 月 1 日，夏威夷瓦希阿瓦居民麗莎 · 吉爾（Lisa Gill）向美國加利福尼亞州北區(qū)聯(lián)邦地區(qū)法院提起集體訴訟，稱自己為處理此次泄露事件的后續(xù)問題耗費了大量時間，且面臨更高的身份盜竊風險。

另一名承包商納蒂維亞 · 埃森（NaTivia Esson）也遞交了訴狀，她自稱于 2025 年 3 月至 2026 年 3 月間為 Mercor 工作，每次接單都需填寫含個人信息的 W-9 稅表，并 " 相信公司會采取合理措施保護這些信息 "。

一周內，Mercor 共收到五起訴訟。其中一起還將 Berrie AI 和合規(guī)機構 Delve Technologies 一并列為被告，LiteLLM 由 AI 開發(fā)工具公司 Berrie AI 開發(fā)，此前持有由自動化合規(guī)認證機構 Delve Technologies 出具的 SOC2 和 ISO 27001 安全認證，訴狀指控前者提供了存在安全漏洞的工具，后者出具了不實的安全認證背書。

上個月，Delve 曾公開否認一篇匿名 Substack 文章中關于其協(xié)助偽造合規(guī)、安排虛假安全審計的指控。

根據(jù)法律研究機構 Cornerstone Research 對 2018 年至 2021 年間數(shù)據(jù)泄露和解案例的統(tǒng)計，此類案件賠償金額通常在每位集體成員 1 至 5 美元（約合人民幣 6.87 至 34.3 元）之間，有記錄經(jīng)濟損失的受害者有時可獲更多賠償。

結語：AI 數(shù)據(jù)外包暗藏結構性風險，一次攻擊影響多家頂級實驗室的護城河

目前，案件調查仍在進行，訴訟尚處早期階段。這場針對 Mercor 的攻擊暴露出 AI 產業(yè)一個結構性盲點。當多家頂級 AI 實驗室將敏感的訓練工作外包給同一家供應商時，這家供應商自身的安全漏洞就成了整個行業(yè)的共同風險暴露點。

安全公司 Recorded Future 的勒索軟件分析師艾倫 · 利斯卡（Allan Liska）說，攻擊者 TeamPCP 的動機明確是金錢驅動，并已公開表示將與勒索軟件和勒索團伙合作，針對受影響企業(yè)發(fā)起規(guī)?；簟Ｏ啾?2023 年 Cl0p 組織利用 MOVEit 漏洞一次性影響近 1 億人的案例，AI 訓練數(shù)據(jù)領域的供應鏈攻擊在商業(yè)損害維度上各有不同。

安全圈

網(wǎng)羅圈內熱點 專注網(wǎng)絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！