Витік даних у стартапі Mercor: наслідки для 10-мільярдної компанії
Шість місяців тому Mercor перебував на піку успіху після залучення масштабних $350 млн у рамках серії C, яка оцінила AI-стартап у $10 млрд. Але після того, як 31 березня компанія визнала, що стала ціллю витоку даних, вона зіткнулася з низкою проблем.
Відтоді хакерське угруповання заявило, що отримало 4 ТБ викрадених даних із систем Mercor, включно з профілями кандидатів, персональною інформацією, даними роботодавців, вихідним кодом та API-ключами. Mercor не коментувала автентичність цих даних, лише повторюючи, що проводить розслідування та «продовжуватиме безпосередньо спілкуватися з нашими клієнтами та підрядниками, коли це доречно, і спрямує необхідні ресурси на вирішення цього питання якомога швидше».
Mercor повідомила, що витік даних стався через злам інструменту з відкритим кодом LiteLLM. Цей інструмент настільки популярний, що його завантажують мільйони разів на день. Упродовж 40 хвилин він містив шкідливе програмне забезпечення для крадіжки облікових даних — програму-зловмисника, здатну викрадати логіни та паролі. Ці дані використовували для доступу до іншого ПЗ та акаунтів, а звідти — для подальшого викрадення даних, і так далі.
Хоча офіційних підтверджень обсягу вилучених у Mercor даних немає, наслідки вже відчутні. Meta призупинила свої контракти з Mercor на невизначений термін, повідомили джерела Wired. (Mercor відмовився коментувати це TechCrunch).
Як й інші компанії, що надають контрактне навчання AI на даних, Mercor працює з одними з найбільших комерційних секретів виробників моделей: власними наборами даних та процесами, які вони використовують для навчання своїх моделей. Це настільки важливо, що навіть після того, як Meta витратила $14,3 млрд на конкурента Mercor — Scale AI, вона продовжувала співпрацю з Mercor.
Хороша новина для Mercor (можливо… побачимо): OpenAI також підтвердила Wired, що розслідує свій вплив через витік даних Mercor, але на той момент не призупиняла і не припиняла контракти. Однак TechCrunch чула від кількох джерел, що інші великі виробники моделей також можуть переглядати свої відносини з Mercor після витоку, хоча наразі ми не підтвердили достатньо деталей, щоб назвати їх.
Тим часом п’ятеро підрядників Mercor подали позови, повідомляє Business Insider, через імовірний витік їхніх персональних даних. Чи становлять ці позови серйозну загрозу, чи є просто опортуністичними й неприємними — побачимо. (Mercor відмовився коментувати).
В одному позові, вивченому TechCrunch, навіть названо LiteLLM та Delve відповідачами. Це надзвичайно, і, можливо, перебільшено, але ось у чому зв’язок: LiteLLM використовував AI-стартап з комплаєнсу Delve для отримання своїх сертифікацій безпеки. Delve було звинувачено анонімним інформатором у нібито фальсифікації даних для сертифікацій безпеки та використанні аудиторів, які ставлять «резинові штампи».
Сертифікація безпеки безпосередньо не заважає хакерам проводити успішні атаки, але вона покликана гарантувати, що компанії мають процеси для мінімізації таких загроз.
Хоча Delve заперечила ці звинувачення, одночасно впроваджуючи операційні зміни, вона переживає власну кризу — настільки, що Y Combinator розірвав зв’язки з компанією.
LiteLLM відмовився від Delve і тепер працює з іншим AI-стартапом з комплаєнсу, щоб знову отримати сертифікації безпеки. LiteLLM також опублікував повний звіт про інцидент безпеки.
Але сам Mercor не був клієнтом Delve, підтвердила компанія TechCrunch. Однак якщо негативні наслідки для Mercor триватимуть, під загрозою може опинитися величезний дохід. За даними анонімного джерела The Information, на початку цього року, до витоку даних, компанія мала досягти річного доходу понад $1 млрд.
Залишити відповідь