- 联系我们
- duidaima.com 版权声明
- 闽ICP备2020021581号
-
闽公网安备 35020302035485号
闽公网安备 35020302035485号
40 分钟的供应链攻击,击穿百亿公司的安全防线
这场危机的源头,是一次针对开源工具的精准供应链攻击。Mercor 表示,此次数据泄露,源于流行开源工具 LiteLLM 遭到的黑客攻击。这款被全球开发者广泛使用的 AI 工具,日均下载量高达数百万次,是很多 AI 公司搭建服务的核心依赖。
黑客在短短 40 分钟的时间里,向该工具的官方仓库植入了带毒的恶意版本,其中暗藏了凭据窃取恶意软件 —— 这种恶意软件可以悄无声息地窃取用户的登录凭据、API 密钥等敏感信息。而这些被盗的凭据,又被黑客用来访问更多的系统和账户,进而窃取更多的权限与数据,如同多米诺骨牌一般,最终引发了大规模的连锁泄露。尽管这两个恶意版本很快就被下架,但这短短 40 分钟的窗口,已经足以造成无法挽回的损失。
攻击发生后,一个黑客组织声称,已经从 Mercor 的系统中窃取了多达 4TB 的被盗数据,其中不仅包含求职者档案、个人身份信息这类普通用户数据,还包括雇主数据、Mercor 的源代码,以及大量 API 密钥这类核心敏感信息。截至目前,Mercor 尚未对这些数据的真实性发表公开评论,仅重申公司正在全力调查,将继续与客户和承包商沟通,投入必要资源尽快解决此事。
泄露的影响,以远超预期的速度发酵。据《连线》杂志援引消息人士的报道,Meta 已经无限期暂停了与 Mercor 的所有合同。这一决定的背后,是 Mercor 这类 AI 数据外包公司的特殊地位:作为为顶级 AI 巨头提供训练服务的供应商,Mercor 掌握着模型制造商最核心的商业秘密 —— 定制化的训练数据集、专属的模型训练流程,这些都是大厂在 AI 竞争中赖以生存的底牌。
哪怕 Meta 早已向 Mercor 的竞争对手 Scale AI 投资了 143 亿美元,它此前依然选择继续与 Mercor 合作,足以见得 Mercor 在 Meta 业务中的重要性,而此次泄露事件,直接让 Meta 选择了紧急踩下刹车,生怕自己的核心训练数据遭到泄露。
OpenAI 的态度则相对缓和:该公司向《连线》证实,正在调查此次泄露事件中自身的暴露情况,但目前尚未暂停或终止与 Mercor 的合同。但这并不意味着 Mercor 的客户关系能够稳住,TechCrunch 从多个消息来源获悉,其他多家大型模型制造商都已经开始重新评估与 Mercor 的合作关系,只是目前尚未有更多细节公开。对于这些 AI 巨头来说,核心训练数据的安全是底线,没人敢在这个问题上冒任何风险。
尽管 Delve 否认了这些指控,并且已经在进行运营调整,但这家公司的信任已经彻底崩塌:顶级创业孵化器 Y Combinator 已经与其断绝了关系,LiteLLM 也已经迅速与 Delve 切割,转而和另一家合规初创公司合作,重新获取安全认证,同时发布了此次安全事件的完整报告。不过 Mercor 方面也强调,该公司本身并不是 Delve 的客户,此次事件的核心还是 LiteLLM 的供应链攻击。但这并不影响这些连锁反应,持续冲击着 Mercor 的声誉与用户信任。
对于 Mercor 来说,这一切的冲击,最终都会落到最现实的收入上。据匿名消息人士向《The Information》透露,在此次数据泄露发生之前,Mercor 的年化收入有望超过 10 亿美元,正处于高速增长的爆发期,刚刚拿到的融资也让它准备进一步扩张业务。但如果客户们纷纷暂停或者终止合作,这些收入预期将瞬间化为泡影。要知道,Mercor 的收入几乎全部来自这些顶级 AI 巨头的订单,一旦失去这些客户,这家半年前还估值百亿的独角兽,很可能会遭遇毁灭性的打击。
