AIデータ会社Mercorは、OpenAIやAnthropicなどの顧客に関わる重大なデータ漏洩に遭遇したことを確認しました。

Fortune の報道によると、OpenAI、Anthropic、Meta などの AI 企業にトレーニングデータを提供しているスタートアップ企業 Mercor が重大なセキュリティ脆弱性に直面したことを確認しました。この事件は、開発者が AI サービスを接続するために広く使用しているオープンソースライブラリ LiteLLM に対するサプライチェーン攻撃に起因しています。日々のダウンロード数は数百万回に達します。

攻撃はハッカーグループ TeamPCP によって引き起こされ、LiteLLM に悪意のあるコードを埋め込むことで認証情報を盗みました。別のハッカーグループ Lapsus$ は、その後、Mercor から最大 4TB のデータを取得したと主張しました。これにはソースコード、データベースの記録、内部 Slack コミュニケーション、プラットフォームの対話ビデオなどが含まれています。未確認の報告によれば、Mercor の一部の顧客のデータセットおよびその機密 AI プロジェクト情報が漏洩した可能性があります。Mercor は、事態を抑制するために迅速に措置を講じ、第三者によるフォレンジック調査を開始したと述べています。