Стартап Mercor стоимостью $10 млрд переживает тяжёлый месяц после утечки данных

Полгода назад стартап Mercor, занимающийся обучением данных для ИИ, был на подъёме после привлечения $350 млн (около 28 млрд рублей) в рамках раунда финансирования Series C, что оценило компанию в $10 млрд. Однако после признания 31 марта, что она стала целью утечки данных, компания столкнулась с серьёзными проблемами.

С тех пор хакерская группа заявила, что получила 4 ТБ украденных данных из систем Mercor, включая профили кандидатов, личную информацию, данные работодателей, исходный код и API-ключи. Mercor не прокомментировала подлинность этих данных, лишь повторив, что ведёт расследование и «будет продолжать напрямую общаться с нашими клиентами и подрядчиками по мере необходимости и выделит ресурсы, необходимые для решения проблемы как можно скорее».

Mercor заявила, что утечка данных стала результатом взлома инструмента с открытым исходным кодом LiteLLM. Этот инструмент настолько популярен, что его скачивают миллионы раз в день. В течение 40 минут в инструменте находилось вредоносное ПО для сбора учётных данных — вредоносное программное обеспечение, способное похищать логины и пароли. Эти данные были использованы для получения доступа к другому программному обеспечению и учётным записям, что позволило собрать ещё больше учётных данных и так далее.

Хотя официальных подтверждений объёма данных, похищенных у Mercor, не было, последствия уже наступили. Как сообщили источники Wired, Meta приостановила контракты с Mercor на неопределённый срок. (Mercor отказалась комментировать это TechCrunch.)

Как и другие компании по обучению данных для ИИ, Mercor работает с некоторыми из самых важных коммерческих секретов создателей моделей: пользовательскими наборами данных и процессами, которые они используют для обучения своих моделей. Это настолько важно, что даже после того, как Meta потратила $14,3 млрд (около 1,14 трлн рублей) на конкурента Mercor — Scale AI, она продолжала работать с Mercor.

Есть и хорошие новости для Mercor (возможно… посмотрим): OpenAI также подтвердила Wired, что изучает свою вовлечённость в утечку данных Mercor, но заявила, что на данный момент не приостанавливала и не расторгала контракты. Однако, как сообщает TechCrunch из нескольких источников, другие крупные разработчики моделей также могут пересмотреть свои отношения с Mercor после инцидента, хотя подробности пока не подтверждены.

Тем временем пять подрядчиков Mercor подали иски, сообщает Business Insider, в связи с предполагаемым раскрытием их личных данных. Остаётся вопросом, представляют ли эти иски серьёзную угрозу или являются просто спекулятивными и назойливыми. (Mercor отказалась комментировать.)

Один из исков, изученный TechCrunch, даже указал в качестве ответчиков LiteLLM и Delve. Это необычно и, возможно, натянуто, но вот связь: LiteLLM использовала стартап по соответствию ИИ Delve для получения своих сертификатов безопасности. Delve была обвинена анонимным осведомителем в якобы фальсификации данных для сертификатов безопасности и использовании «резиновых» аудиторов.

Сертификация безопасности напрямую не предотвращает успешные хакерские атаки, но призвана гарантировать, что у компаний есть процессы для минимизации таких угроз.

Хотя Delve отрицала эти обвинения, одновременно внося операционные изменения, компания сама оказалась в сложной ситуации, вплоть до разрыва отношений с Y Combinator.

LiteLLM отказалась от услуг Delve и теперь работает с другим стартапом по соответствию ИИ, чтобы снова получить сертификаты безопасности. LiteLLM также опубликовала полный отчёт об инциденте безопасности.

Но сама Mercor не была клиентом Delve, подтвердила компания TechCrunch. Однако, если последствия для Mercor продолжатся, под угрозой может оказаться значительная часть выручки. По данным анонимного источника The Information, до утечки данных компания, как сообщалось, шла к достижению более $1 млрд (около 80 млрд рублей) годовой выручки.

* Meta, Facebook и Instagram запрещены в России.