Стартап Mercor, занимающийся AI-рекрутингом, подтвердил инцидент безопасности, связанный с цепочкой поставок. Компания заявила, что стала одной из тысяч организаций, пострадавших из-за компрометации популярного open-source проекта LiteLLM.
Атака связана с хакерской группой TeamPCP. При этом вымогательская группировка Lapsus$ заявила, что именно она нацелилась на Mercor и получила доступ к его данным. Как именно Lapsus$ получила данные в рамках атаки TeamPCP, пока неясно.
Основанная в 2023 году компания Mercor сотрудничает с такими фирмами, как OpenAI и Anthropic, для обучения AI-моделей, привлекая узкопрофильных экспертов: учёных, врачей, юристов, в том числе из Индии. Стартап заявляет, что обеспечивает выплаты на сумму более 2 миллионов долларов ежедневно. Его оценка достигла 10 миллиардов долларов после раунда финансирования Series C на 350 миллионов долларов под руководством Felicis Ventures в октябре 2025 года.
Представитель Mercor Хайди Хагберг подтвердила, что компания оперативно приняла меры по сдерживанию и устранению инцидента. «Мы проводим тщательное расследование с привлечением ведущих сторонних экспертов по компьютерной криминалистике, — сказала Хагберг. — Мы продолжим напрямую информировать наших клиентов и подрядчиков и выделим все необходимые ресурсы для скорейшего разрешения ситуации».
Ранее Lapsus$ взяла на себя ответственность за утечку данных на своём сайте и опубликовала образец информации, якобы похищенной у Mercor. Образец включал материалы, ссылающиеся на данные из Slack и систему тикетов, а также два видео, предположительно показывающие разговоры между AI-системами Mercor и подрядчиками на его платформе.
Хагберг отказалась отвечать на уточняющие вопросы о связи инцидента с заявлениями Lapsus$, а также о том, были ли получены, извлечены или использованы данные клиентов или подрядчиков.
Компрометация LiteLLM была обнаружена на прошлой неделе после выявления вредоносного кода в пакете, связанном с этим open-source проектом, поддержанным Y Combinator. Вредоносный код был найден и удалён в течение нескольких часов, но инцидент привлёк внимание из-за широкого распространения библиотеки LiteLLM в интернете — по данным компании Snyk, её скачивают миллионы раз в день. После этого LiteLLM изменила процессы обеспечения соответствия, перейдя от стартапа Delve к компании Vanta для получения сертификатов.
Остаётся неясным, сколько компаний пострадало из-за инцидента с LiteLLM и произошла ли утечка каких-либо данных, поскольку расследования продолжаются.
