- A Meta pausou todo o trabalho com a Mercor enquanto investiga uma violação de segurança que afetou a startup; a suspensão é indefinida.
- Outros laboratórios de IA estão reavaliando parcerias com a Mercor para entender o alcance do incidente.
- Mercor fornece dados de treinamento para OpenAI, Anthropic e outros labs por meio de contratos com redes de trabalhadores; o dano envolve dados proprietários sensíveis.
- A OpenAI confirmou a investigação sobre a exposição de dados proprietários da Mercor, assegurando que não afeta os dados dos usuários; a Anthropic não respondeu até o momento.
- A Mercor confirmou o ataque em seis de março; projetos da Meta, como o Chordus, seguem em revisão e as horas de contratação podem permanecer suspensas.
Meta interrompe tempora e indefinidamente o trabalho com a Mercor após violação de segurança que atingiu a startup, segundo duas fontes ouvidas pelo WIRED. A pausa ocorre enquanto a empresa investiga o incidente. Outros laboratórios de IA também reavaliam relações com a Mercor.
Mercor é contratada por grandes laboratórios de IA, como OpenAI e Anthropic, para gerar dados de treinamento proprietários. A empresa utiliza redes de contratados para criar datasets sob medida, mantidos em segredo por serem cruciais para modelos de IA avançados.
A violação foi confirmada pela Mercor a funcionários em 31 de março. A Corporação disse que houve um incidente de segurança que afetou sistemas, assim como milhares de organizações no mundo. A Mercor não detalha impactos específicos.
Para os contratados ligados a projetos da Meta, a empresa informou que não é possível registrar horas até que o projeto tenha novo andamento. A Mercor tenta realocar trabalhadores para outros trabalhos.
O projeto da Meta relacionado ao Chordus, que ensina IA a verificar respostas usando várias fontes da internet, teve sua abrangência reavaliada pela Mercor. A liderança do projeto comunicou internaemente a revisão do escopo.
Detalhes da violação e impactos
O ataque envolve o uso de atualizações comprometidas do LiteLLM, ferramenta de IA API. A violação pode ter exposto dados de várias empresas que utilizam o LiteLLM, com milhares de vítimas potenciais.
Autor conhecido como TeamPCP aparece ligado aos componentes do ataque, inclusive às duas atualizações do LiteLLM. A gravidade do incidente amplia a pressão sobre fornecedores de dados para IA. Estudo de segurança aponta motivações financeiras como objetivo principal.
Lapsus$ apareceu no debate, ao alegar ter invadido a Mercor. Pesquisadores dizem que o grupo Lapsus$ costuma ser usado por diferentes atores, dificultando confirmar uma ligação direta com a Mercor. A confirmação da conexão com LiteLLM sugere relação com TeamPCP.
Analistas destacam que TeamPCP participou de uma onda maior de ataques na cadeia de suprimentos nos últimos meses. A atuação inclui ataques de extorsão, uso de ransomware e disseminação de worm CanisterWorm em nuvens vulneráveis.
Contexto e reação do setor
Especialistas ressaltam que Mercor e concorrentes como Surge, Handshake, Turing, Labelbox e Scale AI costumam manter confidencialidade sobre serviços para grandes laboratórios. CEOs costumam usar codinomes para descrever projetos.
A investigação continua, com laboratórios de IA avaliando se dados proprietários de treinamento podem ter sido expostos. OpenAI afirma que dados de usuários não foram afetados pela violação, segundo portavoz. Anthropic ainda não respondeu.
Fontes próximas indicam que a investigação sobre o incidente está em curso e que a extensão do dano ainda é desconhecida. A Mercor busca novos contratos para remanescentes de contratados impactados.
Entre na conversa da comunidade