Шесть месяцев назад Mercor был на вершине успеха, после привлечения масштабного раунда финансирования Series C объёмом $350 млн, который оценил стартап по обработке данных ИИ в $10 млрд. Но после того, как 31 марта компания признала, что стала жертвой утечки данных, компания оказалась в море неприятностей.
С тех пор группировка хакеров заявила, что получила 4 ТБ украденных данных из систем Mercor, включая профили кандидатов, личные данные, информацию о работодателях, исходный код и ключи API. Mercor не прокомментировала подлинность данных, повторив только, что проводит расследование и "будет продолжать напрямую общаться с нашими клиентами и подрядчиками и выделять необходимые ресурсы для разрешения ситуации как можно скорее".
Mercor сообщила, что утечка данных произошла в результате взлома инструмента с открытым исходным кодом LiteLLM. Этот инструмент настолько популярен, что скачивается миллионы раз в день. На протяжении 40 минут инструмент содержал вредоносное программное обеспечение для сбора учётных данных — дополнительное программное обеспечение, которое могло украсть учётные данные входа. Эти учётные данные использовались для получения доступа к другому программному обеспечению и учётным записям, которые в свою очередь использовались для сбора дополнительных учётных данных, и так далее.
Хотя нет официальных подтверждений того, какой объём данных был получен из Mercor, последствия были серьёзными. Meta приостановила свои контракты с Mercor на неопределённый срок, сообщили источники Wired. (Mercor отказалась комментировать это для TechCrunch.)
Как и другие компании, работающие по контрактам в сфере обучения ИИ на данных, Mercor имеет доступ к одним из самых важных торговых секретов разработчиков моделей: к пользовательским наборам данных и процессам, которые они используют для обучения своих моделей. Это настолько важно для них, что даже после того как Meta потратила $14,3 млрд на конкурента Mercor — Scale AI, она продолжала работать с Mercor.
В какой-то мере хорошей новостью для Mercor (может быть... посмотрим): OpenAI также подтвердила Wired, что расследует свою причастность к утечке в Mercor, но сказала, что на момент общения не приостанавливала и не прекращала свои контракты. Однако TechCrunch слышал от нескольких источников, что другие крупные разработчики моделей также могут пересматривать свои отношения с Mercor после утечки, хотя мы ещё не подтвердили достаточно деталей, чтобы назвать имена.
Тем временем пять подрядчиков Mercor подали иски, сообщает Business Insider, из-за предполагаемой утечки их личных данных. Представляют ли эти иски серьёзную угрозу или просто являются попыткой нажиться на ситуации, предстоит выяснить. (Mercor отказалась комментировать.)
Один из исков, изученный TechCrunch, даже назвал LiteLLM и Delve в качестве ответчиков. Это дико и, возможно, натянуто, но вот связь: LiteLLM использовал стартап по AI-соответствию Delve для получения сертификатов безопасности. Delve обвиняется анонимным разоблачителем в том, что якобы подделывал данные для сертификатов безопасности и использовал некомпетентных аудиторов.
Сертификат безопасности не предотвращает прямо успешные атаки хакеров, но он предназначен для обеспечения того, чтобы компании имели процессы, снижающие такие угрозы.
Хотя Delve отрицает эти обвинения, одновременно внедряя операционные изменения, компания испытывает серьёзные трудности, вплоть до того, что Y Combinator разорвала отношения с компанией.
LiteLLM отказалась от Delve и сейчас сотрудничает с другим стартапом по AI-соответствию для повторного получения сертификатов безопасности. LiteLLM также опубликовала полный отчёт об инциденте безопасности.
Но сама Mercor не была клиентом Delve, подтвердила компания TechCrunch. Однако если неприятности Mercor продолжатся, на кон может встать значительный доход. Компания, как сообщалось, была готова достичь более $1 млрд в годовом доходе ранее в этом году до утечки данных, сообщил анонимный источник The Information.