數據泄露風波持續發酵，估值百億美元的Mercor深陷困境

六個月前，AI數據訓練初創公司Mercor完成了3.5億美元的C輪融資，估值高達100億美元，一時風頭無兩。然而，在3月31日承認遭遇數據泄露事件后，這家公司陷入了重重麻煩之中。

事件發酵至今，一個黑客組織聲稱已從Mercor系統中竊取了4TB的數據，其中包括候選人檔案、個人身份信息、雇主數據、源代碼及API密鑰。Mercor對相關數據的真實性未予置評，僅重申正在開展調查，并表示"將繼續酌情與客戶和承包商直接溝通，并投入必要資源，盡快解決相關問題"。

Mercor表示，此次數據泄露源于開源工具LiteLLM遭到攻擊。這款工具每天被下載數百萬次，使用極為廣泛。在長達40分鐘的時間里，該工具中潛伏著一種憑證竊取惡意軟件，專門用于盜取登錄憑證。攻擊者利用這些憑證入侵更多軟件和賬戶，再以此獲取更多憑證，形成連鎖滲透。

盡管目前沒有官方聲明披露從Mercor竊取的具體數據量，但后續影響已接踵而至。據《連線》雜志消息人士透露，Meta已無限期暫停與Mercor的合作合同。對此，Mercor拒絕向TechCrunch置評。

與其他AI數據訓練承包公司一樣，Mercor掌握著部分模型廠商最核心的商業機密——用于訓練模型的定制數據集與流程。這些資產對于模型廠商而言至關重要。即便Meta斥資143億美元收購了Mercor的競爭對手Scale AI，此后仍繼續維持與Mercor的合作關系。

對Mercor而言，目前也有一個相對積極的消息：OpenAI向《連線》證實，正在評估其在Mercor數據泄露事件中的風險敞口，但表示截至目前尚未暫停或終止與Mercor的合作合同。不過，TechCrunch從多個信源了解到，其他大型模型廠商可能也在重新審視與Mercor的合作關系，但目前尚未掌握足夠細節，故不便點名。

與此同時，據《商業內幕》報道，已有五名Mercor承包商以個人數據遭泄露為由提起訴訟。這些訴訟究竟構成實質威脅，還是僅屬機會主義式的干擾，目前尚難定論。對此，Mercor拒絕發表評論。

TechCrunch獲得的一份訴狀甚至將LiteLLM和Delve列為被告，此舉頗為大膽，或許也有些牽強。其中的邏輯關聯如下：LiteLLM曾委托AI合規初創公司Delve為其獲取安全認證，而Delve被一名匿名舉報人指控偽造安全認證數據，并使用走過場的審計人員。

安全認證并不能直接阻止黑客發動攻擊，但其本意在于確保企業建立相應流程，將此類安全威脅降至最低。

Delve在否認上述指控的同時，也著手推行了若干運營層面的變革，但公司同樣陷入困境，最終導致Y Combinator與其切斷關系。

LiteLLM已與Delve終止合作，轉而委托另一家AI合規初創公司重新申請安全認證，并就此次安全事件發布了完整調查報告。

不過，Mercor已向TechCrunch確認，其本身并非Delve的客戶。但若此次事件的后續影響持續擴大，Mercor的營收損失將不可小覷。據《The Information》援引匿名消息人士透露，在數據泄露事件發生前，該公司今年的年化營收預計將突破10億美元。

Q&A

Q1：Mercor的數據泄露事件是怎么發生的？

A：此次泄露源于開源工具LiteLLM遭受攻擊。在約40分鐘內，LiteLLM中被植入了憑證竊取惡意軟件，攻擊者借此盜取登錄憑證，并利用這些憑證逐步滲透至更多系統和賬戶，最終波及Mercor的數據安全。黑客組織聲稱已獲取4TB數據，包括候選人檔案、個人身份信息、源代碼及API密鑰等敏感內容。

Q2：Meta為什么暫停與Mercor的合作？

A：據《連線》雜志消息人士透露，Meta已無限期暫停與Mercor的合作合同，原因與Mercor遭受的數據泄露事件直接相關。由于Mercor掌握著AI模型廠商最核心的商業機密，包括定制數據集與模型訓練流程，數據安全問題對合作方而言極為敏感。Mercor對此拒絕向TechCrunch置評。

Q3：Delve被卷入Mercor數據泄露訴訟的原因是什么？

A：LiteLLM曾委托AI合規初創公司Delve為其獲取安全認證。有匿名舉報人指控Delve偽造安全認證數據、使用走過場的審計人員。部分針對Mercor數據泄露事件的訴訟將Delve列為被告，邏輯在于其認證有效性存疑。目前Delve已否認相關指控，但Y Combinator已與其終止合作關系，LiteLLM也已更換合規服務商。