AI数据服务商Mercor曝出重大安全事件
近日,人工智能领域传来令人不安的消息。一家为行业巨头提供关键训练数据支持的初创公司Mercor,公开承认其系统遭到严重入侵。这起安全事件并非普通的网络攻击,而是一场精心策划的供应链攻击,波及了其众多高端客户。
攻击源头:被“投毒”的开源工具
此次安全漏洞的根源,指向了一个名为LiteLLM的开源软件库。该工具被全球开发者广泛用于连接和集成不同的AI服务接口,日均下载量高达数百万次,是AI开发基础设施中的重要一环。黑客组织TeamPCP瞄准了这一关键节点,成功在LiteLLM的代码中植入了恶意程序。当开发者使用这个被篡改的库时,其系统中的访问凭证和敏感信息便在不知不觉中被窃取。
数据泄露规模惊人,内部机密恐已曝光
在初始攻击发生后不久,另一个名为Lapsus$的黑客组织高调宣称,他们已经成功获取了来自Mercor内部系统的海量数据,总量估计达到4TB。据其披露,这些数据包罗万象:
- 公司核心产品的完整源代码
- 后台数据库的详细记录
- 内部团队通过Slack进行的全部通信记录
- 平台用户的对话视频内容
更令人担忧的是,未经证实的多方报告指出,部分Mercor客户为AI模型训练提供的专属数据集,以及一些仍处于保密阶段的AI研发项目细节,可能也在此次事件中一同外流。如果属实,这意味着一些AI公司的核心竞争力和未来技术路线图面临着暴露的风险。
事件影响与行业反思
Mercor公司表示,在察觉异常后已第一时间采取行动隔离威胁,并聘请了独立的第三方网络安全公司进行全面的取证调查,以评估实际损失和影响范围。目前,相关执法部门也已介入。
这起事件如同一记警钟,震动了整个AI行业。它暴露出一个严峻的问题:在AI技术飞速发展的生态中,高度依赖开源组件和第三方服务的供应链变得异常脆弱。一次针对基础工具的精准攻击,就可能像多米诺骨牌一样,撼动产业链上游多家顶级公司的安全防线。如何构建更可信、可审计的AI开发与数据供应链,已成为行业亟待解决的共同挑战。