ディープ潮 TechFlow のメッセージ、4月3日、Fortune によると、OpenAI、Anthropic、Meta などの AI 企業に学習データを提供しているスタートアップ企業 Mercor は、大規模なセキュリティ脆弱性に遭遇したことを確認した。今回の事態は、開発者が AI サービスを接続するために広く利用しているオープンソースライブラリ LiteLLM を対象としたサプライチェーン攻撃に起因している。同ライブラリの1日あたりのダウンロード数は数百万回に達するという。攻撃はハッカー集団 TeamPCP によって開始され、LiteLLM に悪意のあるコードを埋め込んで認証情報を窃取した。別のハッカー集団 Lapsus$ はその後、Mercor から最大 4TB のデータを入手したと主張し、これにはソースコード、データベースの記録、社内 Slack の通信、プラットフォーム上の対話動画などが含まれるという。裏付けのない報道によれば、Mercor の一部顧客のデータセットや、機密の AI プロジェクト情報が漏えいした可能性がある。Mercor は、事態の封じ込めに迅速に対応し、第3者によるフォレンジック調査を開始したとしている。
評価額100億ドルのAIデータ企業Mercor、OpenAI、Anthropicなどの顧客に関わる重大なデータ漏洩を確認
ディープ潮 TechFlow のメッセージ、4月3日、Fortune によると、OpenAI、Anthropic、Meta などの AI 企業に学習データを提供しているスタートアップ企業 Mercor は、大規模なセキュリティ脆弱性に遭遇したことを確認した。今回の事態は、開発者が AI サービスを接続するために広く利用しているオープンソースライブラリ LiteLLM を対象としたサプライチェーン攻撃に起因している。同ライブラリの1日あたりのダウンロード数は数百万回に達するという。
攻撃はハッカー集団 TeamPCP によって開始され、LiteLLM に悪意のあるコードを埋め込んで認証情報を窃取した。別のハッカー集団 Lapsus$ はその後、Mercor から最大 4TB のデータを入手したと主張し、これにはソースコード、データベースの記録、社内 Slack の通信、プラットフォーム上の対話動画などが含まれるという。裏付けのない報道によれば、Mercor の一部顧客のデータセットや、機密の AI プロジェクト情報が漏えいした可能性がある。Mercor は、事態の封じ込めに迅速に対応し、第3者によるフォレンジック調査を開始したとしている。