Компанії, які тренують моделі для OpenAI та Anthropic, були зламані: Mercor підтвердив атаку, Lapsus$ заявляє про крадіжку 4 ТБ даних

За моніторингом 1M AI News, AI-рекрутингова платформа Mercor підтвердила, що зазнала кібератаки, причиною якої стала компрометація ланцюга постачання open-source Python-бібліотеки LiteLLM. Mercor заявляє, що вона є «однією з тисяч компаній, яких це зачепило», і вже найняла сторонніх фахівців із збору доказів для розслідування.

LiteLLM — це Python-бібліотека з місячним обсягом завантажень 97 млн разів; розробники використовують її як єдиний інтерфейс для підключення до понад 100 AI-сервісів, зокрема OpenAI, Anthropic тощо. Група хакерів на ім’я TeamPCP завантажила до PyPI версії 1.82.7 і 1.82.8, у які було інжектовано шкідливий код: він викрадає SSH-ключі, API token, файли .env та облікові дані постачальників хмарних послуг, а також створює стійкі бекдори. Після того, як безпекова компанія Snyk виявила шкідливі версії, їх було знято з розповсюдження протягом кількох годин, але вікно експозиції було достатнім, щоб зловмисники проникли в системи на рівні нижче за ланцюг постачання.

Згодом група викупних хакерів Lapsus$ на своєму витоковому сайті заявила, що саме вона відповідальна за атаку на Mercor, стверджуючи, що викрала приблизно 4TB даних, зокрема:

1. 939GB вихідного коду
2. 211GB бази даних
3. 3TB сховища (як стверджується, містить відеозаписи співбесід, файли для автентифікації тощо)
4. Усі дані TailScale VPN

У публікації Lapsus$ також оприлюднила частину зразків даних, включно із записами Slack-чатів, інформацією з системи тикетів та відео взаємодії між AI-системою Mercor і підрядниками платформи. На соціальних медіа безпекові дослідники, проаналізувавши витоковi зразки, зазначили, що в даних присутні документи внутрішньої структури проєктів, імовірно пов’язаних із Amazon, Apple та Meta, але Mercor ще не підтвердила, які саме дані клієнтів могли бути під впливом.

Mercor засновано у 2023 році; її оцінка становить 10 млрд доларів (C раунд у жовтні 2025 року). Компанія керує понад 30 тисячами експертів-підрядників, щодня сплачуючи підрядникам понад 2 млн доларів США; вона надає AI-лабораторіям на кшталт OpenAI, Anthropic, Google DeepMind тощо експертні послуги з людського зворотного зв’язку, необхідні для тренування та оцінювання моделей. Представник Mercor підтвердив, що розслідування вже розпочато, але відмовився відповідати, чи пов’язана подія із заявами Lapsus$, а також не повідомив, чи були отримані, витокнуті або зловживано даними клієнтів чи підрядників. Якщо твердження Lapsus$ є правдивими, це буде значною безпековою подією, яка безпосередньо зачіпає ключові дані в процесах тренування одразу кількох провідних AI-лабораторій. Зв’язок між TeamPCP і Lapsus$ наразі невідомий. На думку Cybernews, атака Lapsus$ на Mercor, імовірно, означає, що TeamPCP і викупні угруповання почали фактичну співпрацю — подібно до того, як раніше ShinyHunters використовували вразливість у Salesforce, а Cl0p — вразливість у MOVEit, що спричинило ланцюговий ефект.