Mercor сообщила о кибератаке, связанной с компрометацией open-source проекта LiteLLM

Jagmeet Singh

31 марта 2026

Mercor, популярный AI-стартап в сфере рекрутинга, подтвердил инцидент безопасности, связанный с атакой цепи поставок на проект с открытым исходным кодом LiteLLM.

AI-стартап сообщил TechCrunch во вторник, что был «одной из тысяч компаний», затронутых недавней компрометацией проекта LiteLLM, которая была связана с хакерской группой TeamPCP. Подтверждение инцидента поступило после того, как группа вымогателей Lapsus$ заявила, что нацелилась на Mercor и получила доступ к её данным.

Пока не совсем ясно, как группа Lapsus$ получила украденные данные Mercor в рамках кибератаки TeamPCP.

Основанная в 2023 году, Mercor работает с компаниями, включая OpenAI и Anthropic, для обучения AI-моделей, нанимая специализированных экспертов в различных областях, таких как учёные, врачи и юристы с рынков, включая Индию. По словам стартапа, он обеспечивает более 2 миллионов долларов ежедневных платежей и был оценен в 10 миллиардов долларов после раунда Series C на сумму 350 миллионов долларов во главе с Felicis Ventures в октябре 2025 года.

Представитель Mercor Heidi Hagberg подтвердила TechCrunch, что компания «быстро действовала» для сдерживания и устранения инцидента безопасности.

«Мы проводим тщательное расследование при поддержке ведущих сторонних экспертов по судебной экспертизе», — сказала Hagberg. «Мы будут продолжать взаимодействовать с нашими клиентами и подрядчиками напрямую, когда это уместно, и выделим необходимые ресурсы для решения этой проблемы как можно скорее.»

Ранее Lapsus$ взяла на себя ответственность за очевидный взлом данных на своём сайте утечек и поделилась образцом данных, предположительно похищенных у Mercor, который проверила TechCrunch. Образец содержал материалы, ссылающиеся на данные Slack и то, что выглядело как данные системы тикетов, а также два видео, предположительно показывающие разговоры между AI-системами Mercor и подрядчиками на её платформе.

Hagberg отказалась ответить на дополнительные вопросы о том, был ли инцидент связан с заявлениями Lapsus$, или был ли получен, вывезен или неправомерно использован какой-либо контент клиентов или подрядчиков.

Компрометация LiteLLM впервые появилась на прошлой неделе после обнаружения вредоносного кода в пакете, связанном с проектом с открытым исходным кодом стартапа, поддерживаемого Y Combinator. Хотя вредоносный код был выявлен и удален в течение нескольких часов, инцидент привлёк внимание из-за широкого распространения LiteLLM в интернете — библиотека загружается миллионы раз в день, по данным фирмы безопасности Snyk. Инцидент также побудил LiteLLM внести изменения в процессы соответствия, включая переход от спорного стартапа Delve к Vanta для сертификации соответствия.

Пока остаётся неясным, сколько компаний было затронуто инцидентом, связанным с LiteLLM, или произошла ли какая-либо утечка данных, так как расследования продолжаются.