Prieš šešis mėnesius „Mercor“ pakilo aukštai, kai surinko didžiulę 350 mln. Tačiau kovo 31 d. pripažinusi, kad tai buvo duomenų pažeidimo taikinys, bendrovė susidūrė su bėdomis.
Nuo tada įsilaužėlių grupė teigė, kad iš Mercor sistemų gavo 4 TB pavogtų duomenų, įskaitant kandidatų profilius, asmenį identifikuojančią informaciją, darbdavio duomenis, šaltinio kodą ir API raktus. „Mercor“ nekomentavo duomenų autentiškumo, tik pakartojo, kad tiria ir „toliau prireikus tiesiogiai bendraus su mūsų klientais ir rangovais bei skirs išteklių, reikalingų šiam klausimui kuo greičiau išspręsti“.
„Mercor“ teigė, kad jos duomenų pažeidimas buvo įsilaužimo į atvirojo kodo įrankį „LiteLLM“ rezultatas. Šis įrankis toks populiarus, kad per dieną atsisiunčiamas milijonus kartų. 40 minučių įrankis saugojo kredencialų rinkimo kenkėjiškas programas – nesąžiningą programinę įrangą, galinčią pavogti prisijungimo duomenis. Tie kredencialai buvo naudojami norint gauti daugiau programinės įrangos ir paskyrų, kurias ji naudojo daugiau kredencialų surinkimui ir pan.
Nors oficialiai nebuvo patvirtinta, kiek duomenų buvo paimta iš „Mercor“, vis tiek buvo atgarsių. „Meta“ neribotam laikui pristabdė savo sutartis su „Mercor“, šaltiniai sakė „Wired“. („Mercor“ atsisakė komentuoti „TechCrunch“ apie tai.)
Kaip ir kitos sutartinės AI duomenų mokymo įmonės, Mercor tvarko kai kurias didžiausias modelių kūrėjų komercines paslaptis: pasirinktinius duomenų rinkinius ir procesus, kuriuos jie naudoja mokydami savo modelius. Tai jiems taip svarbu, kad net po to, kai Meta išleido 14,3 milijardo dolerių Mercor konkurentui Scale AI, ji toliau dirbo su Mercor.
Geros naujienos Mercor (galbūt…pamatysime): „OpenAI“ taip pat patvirtino „Wired“, kad tiria savo atskleidimą dėl Mercor pažeidimo, tačiau teigė, kad tuo metu nesustabdė ir nenutraukė sutarčių. Tačiau „TechCrunch“ iš kelių šaltinių girdėjo, kad kiti dideli modelių gamintojai taip pat gali pasverti savo santykius su „Mercor“ po pažeidimo, nors kol kas nepatvirtinome pakankamai detalių, kad galėtume įvardyti vardus.
„Business Insider“ praneša, kad tuo tarpu penki „Mercor“ rangovai pateikė ieškinius dėl tariamo asmens duomenų atskleidimo. Ar šie kostiumai kelia rimtą grėsmę, ar yra tik oportunistiniai ir kelia nepatogumų, dar reikia pamatyti. („Mercor“ atsisakė komentuoti.)
Techcrunch renginys
San Franciskas, Kalifornija
|
2026 m. spalio 13-15 d
Viename ieškinyje, kurį peržiūrėjo „TechCrunch“, atsakovais netgi buvo įvardijami „LiteLLM“ ir „Delve“. Tai beprotiška ir galbūt sudėtinga, tačiau čia yra ryšys: „LiteLLM“ naudojo AI atitikties paleidimą „Delve“, kad gautų saugos sertifikatus. „Delve“ anoniminis pranešėjas apkaltino tariamai suklastojus duomenis saugumo sertifikatams gauti ir naudojant guminius auditorius.
Saugumo sertifikatas tiesiogiai netrukdo įsilaužėliams pradėti sėkmingas atakas, tačiau juo siekiama užtikrinti, kad įmonėse būtų taikomi procesai, leidžiantys sumažinti tokias grėsmes.
Nors „Delve“ neigė šiuos kaltinimus, tuo pat metu pradėdama veiklos pakeitimus, pati pasaulis nukentėjo iki tokio lygio, kai „Y Combinator“ nutraukė ryšius su įmone.
„LiteLLM“ atsisakė „Delve“ ir dabar bendradarbiauja su kitu DI atitikties paleidikliu, kad vėl gautų saugos sertifikatus. „LiteLLM“ taip pat paskelbė išsamią saugumo incidento ataskaitą.
Tačiau pati „Mercor“ nebuvo „Delve“ klientas, „TechCrunch“ patvirtino bendrovė. Tačiau jei Mercor nuosmukis ir toliau tęsis, ant kortos gali kilti daug pajamų. Pranešama, kad anksčiau šiais metais prieš duomenų nutekėjimą bendrovė pasiekė daugiau nei 1 mlrd. USD metinių pajamų, anoniminis šaltinis sakė „The Information“.
