Полгода назад стартап Mercor, специализирующийся на подготовке данных для искусственного интеллекта (AI data training), казался одним из самых перспективных: компания привлекла 350 миллионов долларов в рамках раунда серии C и получила оценку в 10 миллиардов долларов. Но 31 марта всё изменилось — компания признала, что стала жертвой масштабной утечки данных.
Группа хакеров заявила, что похитила 4 терабайта информации из систем Mercor. Среди украденного — профили кандидатов, персональные данные, информация о работодателях, исходный код и ключи API. Сама компания не подтвердила и не опровергла подлинность этих данных, заявив лишь, что расследование продолжается и она «будет оперативно информировать клиентов и подрядчиков по мере необходимости».
По словам Mercor, взлом произошёл через популярный инструмент с открытым исходным кодом — LiteLLM. Эта платформа используется миллионами раз в день. В течение 40 минут в ней работало вредоносное ПО, собирающее учётные данные. С помощью этих данных злоумышленники получили доступ к другим системам, расширяя охват атаки.
Крупные клиенты уходят
Хотя точный объём утечки пока неизвестен, последствия уже налицо. Как сообщили источники изданию Wired, Meta приостановила все контракты с Mercor. Сама компания от комментариев отказалась.
Mercor работает с одними из самых ценных активов в индустрии ИИ — кастомными наборами данных и процессами обучения моделей. Даже после того, как Meta потратила 14,3 миллиарда долларов на покупку конкурента Mercor — Scale AI, — она продолжала сотрудничать со стартапом.
Остальные клиенты на грани ухода
Впрочем, не все крупные партнёры пока ушли. ОпенЭйАй (OpenAI) подтвердила Wired, что проверяет, затронула ли утечка её данные, но контракты с Mercor не приостанавливала. Однако, по информации TechCrunch, другие крупные разработчики моделей ИИ пересматривают отношения со стартапом. Пока назвать их имена нельзя из-за недостатка подтверждений.
Судебные иски и неожиданные обвинения
Между тем, как сообщает Business Insider, пять подрядчиков Mercor уже подали в суд из-за утечки своих персональных данных. Насколько серьёзны эти иски — пока неясно.
Один из исков, с которым ознакомился TechCrunch, включает в список ответчиков не только Mercor, но и LiteLLM, а также стартап Delve. Причина в том, что LiteLLM использовал Delve для получения сертификатов безопасности. Однако анонимный информатор обвинил Delve в фальсификации данных и использовании «резиновых печатей» при аудите.
Сертификат безопасности не гарантирует защиту от хакеров, но должен подтверждать, что у компании есть процессы для минимизации рисков. Delve отрицает обвинения, но уже ввела операционные изменения. Тем не менее, Y Combinator разорвал с ней отношения.
Сам LiteLLM прекратил сотрудничество с Delve и начал работать с другим стартапом по ИИ-соответствию. Также он опубликовал полный отчёт по инциденту.
Mercor не работал с Delve — но убытки всё равно возможны
Как подтвердили в Mercor, компания никогда не была клиентом Delve. Однако если последствия утечки будут нарастать, риски для бизнеса окажутся огромными. По данным The Information, ещё в начале года стартап шёл к тому, чтобы выйти на годовой доход более чем в миллиард долларов.