Acum aproximativ șase luni, Mercor se afla într-un moment de maximă glorifice, reușind să atragă o rundă impresionantă de finanțare Serie C în valoare de 350 de milioane de dolari, care a propulsat startup-ul specializat în antrenarea modelelor de inteligență artificială la o evaluare colosală de 10 miliarde de dolari. Cu toate acestea, la sfârșitul lunii martie, compania a fost nevoită să recunoască public că a căzut victima unui atac cibernetic masiv, iar de atunci situația nu a făcut decât să se înrăutățească, generând consecințe grave pentru viitorul său pe termen lung.
Gruparea de hackeri responsabilă de acest atac susține că a reușit să extragă nu mai puțin de 4 terabytes de date sensibile din sistemele Mercor. Printre informațiile compromise se numără profiluri detaliate ale candidaților care au utilizat platforma, date de identificare personală (PII), informații despre angajatori, coduri sursă proprietare și chei API esențiale pentru funcționarea serviciilor. Deși Mercor nu a confirmat în mod oficial autenticitatea acestor date furate, compania a declarat că continuă să investigheze incidentul și că „va comunica în mod direct cu clienții și contractori săi, după caz, și va aloca resursele necesare pentru rezolvarea cât mai rapidă a acestei probleme."
Originile atacului: vulnerabilitatea din instrumentul open-source LiteLLM
Un aspect extrem de îngrijorător al acestui incident este legat de modalitatea prin care hackerii au reușit să pătrundă în infrastructura Mercor. Compania a confirmat că breșa de securitate a fost rezultatul piratării instrumentului open-source LiteLLM, o unealtă extrem de populară care este descărcată de milioane de ori în fiecare zi în întreaga lume. Această descoperire ridică semne de întrebare fundamentate cu privire la practicile de securitate cibernetică din ecosistemul startup-urilor AI, în special în ceea ce privește dependența de instrumente terțe.
Într-un interval de doar 40 de minute, instrumentul LiteLLM a găzduit un malware de tip credential harvesting, adică un software malițios conceput special pentru a fura credențiale de autentificare. Aceste acreditive furate au fost ulterior utilizate pentru a obține acces la alte programe și conturi, de unde erau extrase noi credențiale, într-un ciclu repetitiv și devastator. Mecanismul de escaladare a accesului folosit de atacatori demonstrează un nivel ridicat de sofisticare tehnică și o planificare atentă.
Ruperea relațiilor comerciale: Meta își întrerupe contractele
Printre cele mai severe consecințe ale acestui incident se numără decizia Meta de a-și suspenda pe termen nedeterminat toate contractele cu Mercor, potrivit unor surse citate de Wired. Această mutare este deosebit de semnificativă având în vedere contextul economic: Meta a cheltuit nu mai puțin de 14,3 miliarde de dolari pentru a investi în Scale AI, principalul competitor al Mercor, și totuși alege să continue să lucreze cu Mercor tocmai datorită valorii și expertizei pe care aceasta le oferă.
Mercor, la fel ca și alți contractori specializați în antrenarea modelelor AI, gestionează o parte dintre cele mai bine păzite secrete comerciale ale producătorilor de modele de inteligență artificială. Acestea includ seturi de date personalizate și procese proprietare utilizate pentru antrenarea modelelor lor. Iată de ce întreruperea relației de către Meta reprezintă un atac direct la adresa veniturilor și credibilității Mercor.
Situația cu OpenAI este ușor diferită: compania a confirmat pentru Wired că își investighează propria expunere în urma breșei Mercor, precizând totodată că, în momentul respectiv, nu își suspendase sau încheiase contractele. Cu toate acestea, mai multe surse din interiorul industriei au declarat pentru TechCrunch că și alte companii mari producătoare de modele AI și-ar putea reevalua relațiile comerciale cu Mercor, ceea ce ar putea genera pierderi financiare semnificative.
Acțiuni juridice și scandalul de certificare de securitate
Pe plan juridic, situația devine și mai complicată. Potrivit unui raport publicat de Business Insider, nu mai puțin de cinci contractori ai Mercor au depus procese în instanță, nemulțumiți de expunerea lor presupusă la furtul de date personale. Unul dintre aceste procese, analizat de TechCrunch, îi numește chiar ca pârâți pe LiteLLM și pe startup-ul de conformitate AI Delve.
Conexiunea cu Delve este una cel puțin neobișnuită: se pare că LiteLLM a utilizat serviciile Delve pentru a obține certificări de securitate. O serie de acuzații grave au apărut însă la adresa acestei companii, un denunțător anonim susținând că Delve ar fi falsificat date în cadrul certificărilor de securitate și ar fi utilizat auditori care aprobau documentele aproape automat, fără verificări riguroase. Deși Delve a negat aceste acuzații și a implementat totodată modificări operaționale, scandalul a avut un impact considerabil, culminând cu decizia Y Combinator de a întrerupe relația cu compania.
Mercor însăși nu a fost clientă a Delve, a confirmat compania pentru TechCrunch, ceea ce sugerează că procesele care vizează această legătură ar putea fi mai degrabă tentative oportuniste decât acuzații cu fundament solid. Totuși, aceste acțiuni judiciare adaugă un nivel suplimentar de complexitate și unpredictabilitate crizei prin care trece startup-ul.
LiteLLM a abandonat serviciile Delve și colaborează în prezent cu un alt startup specializat în conformitate AI pentru a obține certificările de securitate necesare. De asemenea, compania a publicat un raport detaliat și complet privind incidentul de securitate, încercând astfel să demonstreze transparență și responsabilitate.
Starea financiară și miza economică
Dacă escaladarea consecințelor continuă în ritmul actual, Mercor ar putea pierde sume considerabile de bani. Rapoartele sugerează că, anterior breșei de date, compania se afla pe un traiectorie care ar fi putut genera venituri anualizate de peste un miliard de dolari, o cifră care evidențiază enorma miză economică a acestui incident. Pierderea contractelor cu marii jucători din industrie ar putea reconfigura complet perspectiva financiară a startup-ului.
Acest incident servește drept un memento dureros pentru întreaga industrie tehnologică, în special pentru sectorul AI, cu privire la importanța critică a securității cibernetice, la riscurile asociate utilizării instrumentelor open-source fără o supraveghere adecvată și la nevoia stringentă de certificări de securitate autentice și verificate. Povestea Mercor demonstrează că, într-o economie în care datele și secretele comerciale reprezintă esența avantajului competitiv, o singură breșă de securitate poate anula rapid ani de creștere și încredere construită cu grijă.
Startup-ul evaluat la 10 miliarde de dolari, Mercor, traversează o criză majoră după un atac cibernetic devastator
