Mercor 表示其遭涉及開放來源 LiteLLM 專案遭入侵的網路攻擊

美國 AI 招聘新創 Mercor 確認遭供應鏈攻擊，事件與開源專案 LiteLLM 有關。Mercor 於週二向 TechCrunch 表示，該起事件影響了數千家企業，攻擊者被指為駭客組織 TeamPCP。此訊息與勒索軟體團體 Lapsus$ 聲稱已入侵 Mercor 並獲取資料的說法同時出現，但兩者如何串聯尚不明確。Mercor 成立於 2023 年，與 OpenAI 及 Anthropic 等公司合作，透過聘請印度等地的科學家、醫生及律師等領域專家來訓練 AI 模型。該公司每日處理超過 200 萬美元付款，並於 2025 年 10 月以 3.5 億美元 C 輪融資被 Felicis Ventures 領投後估值達 100 億美元。Mercor 發言人 Heidi Hagberg 表示公司已迅速處理並委託第三方鑑證專家調查，將持續與客戶及承包商溝通。Lapsus$ 曾在其洩漏網站公佈樣本資料，包含 Slack 資料、工單系統資料以及兩段顯示 Mercor AI 系統與承包商對話的影片。LiteLLM 的漏洞於上週曝光，惡意程式碼在數小時內被移除，但因該庫每日下載量達數百萬次而引發關注。安全公司 Snyk 指出，LiteLLM 已更改合規流程，從 Delve 轉向 Vanta。目前仍不清楚受影響公司數量及是否有資料洩漏，調查持續進行中。