Kibernoziedzības grupa, kas ir sasniegusi dažus no lielākajiem tehnoloģiju nosaukumiem, saka, ka tā atkal ir sasniegusi triecienu — šoreiz tā ir viena no visstraujāk augošajām kompānijām AI talantu jomā.
Ziņas, kas cirkulē pa X un Reddit, norāda uz LAPSUS$ apgalvojumu, ka tas pārkāpis Mercor, AI darbā pieņemšanas un novērtēšanas uzņēmumu, un izvilka aptuveni 4 terabaitus iekšējo datu. Grupa saka, ka ievešana ietver pirmkodu, kandidātu datu bāzes un tūkstošiem ierakstītu interviju, kas saistītas ar identitātes pārbaudi.
Lapsus, iespējams, ir pārkāpis Mercor AI
Skaitļi, ja tie ir precīzi, ir satriecoši. LAPSUS$ apgalvo, ka ir piekļuvis 939 GB avota koda, 211 GB datu bāzes ierakstu, kas satur CV un personas datus, un gandrīz 3 TB saglabāto failu. Tiek ziņots, ka šajā krātuvē ir iekļautas video intervijas ar sejas un balss datiem, kā arī KYC dokumenti un pases. Grupa arī saka, ka tā ir ieguvusi pilnīgu piekļuvi Mercor TailScale VPN videi, kas tai varēja nodrošināt piekļuvi lielai daļai uzņēmuma iekšējo sistēmu.
Saskaņā ar ziņām, pārkāpums sekoja neveiksmīgām izpirkuma sarunām. Uzbrucēji tagad saka, ka var pārdot vai izlaist datus.
“Iespējams, ka Lapsus ir pārkāpis Mercor AI
939 GB avota koda
Kopā 4TB datu
Visi dati no viņu TailScale VPN,” ziņojumā par X sacīja kiberdrošības analītiķis un drošības pētnieks Dominiks Alvjēri.
Lapsus, iespējams, ir pārkāpis Mercor AI
939 GB avota koda
Kopā 4TB datu
Visi dati no viņu TailScale VPN@mercor_ai pic.twitter.com/Gpo5V7WD3Z— Dominiks Alvjē (@AlvieriD) 2026. gada 31. marts
Strauji augošs AI starta uzņēmums ar augstvērtīgiem datiem
Mercor ātri ir kļuvis par galveno spēlētāju AI ekosistēmā. Sanfrancisko jaunuzņēmumu, ko 2023. gadā dibināja 22 gadus veci koledžas absolventi Brendans Foodijs, Surja Mida un Adaršs Hiremāts, no ārštata saskaņošanas tika pārcelts uz galveno lomu, kas atbalsta AI modeļu apmācību un novērtēšanu. TechStartups piedāvāja Mercor pagājušā gada beigās pēc tam, kad AI darbā iekārtošanas jaunizveidotais uzņēmums palielināja 350 miljonus USD, novērtējot 10 miljardus USD.
Uzņēmums savieno domēna ekspertus — no ārstiem līdz inženieriem — ar vadošajām AI laboratorijām. Šie eksperti pārskata modeļu rezultātus, pārbauda sistēmas un piedalās strukturētās intervijās. Liela daļa šī procesa tiek ierakstīta, pārbaudīta un saglabāta, radot lielu sensitīvu materiālu krātuvi.
Mercor saka, ka tās mērogs ir strauji palielinājies, un tā platformā ir desmitiem tūkstošu ekspertu un ziņotais ikgadējais ieņēmumu rādītājs ir simtiem miljonu. Šī izaugsme ir padarījusi to par vērtīgu partneri AI laboratorijām un par vērtīgu mērķi uzbrucējiem.
Tās datu raksturs liek likt vēl lielākas. Video intervijas, personu apliecinoši dokumenti un detalizēti profesionālie profili tiek izmantoti kopā ar patentētām sistēmām, lai saskaņotu un novērtētu talantus. Uzbrucējiem šī kombinācija piedāvā vairākus peļņas gūšanas ceļus, sākot no identitātes krāpšanas un beidzot ar korporatīvo spiegošanu.
Kā varētu būt noticis pārkāpums
Sākotnējais ieejas punkts paliek neapstiprināts. Ar incidentu saistītās ziņas liecina, ka izstrādātājs, iespējams, atklājis ražošanas akreditācijas datus, izmantojot AI kodēšanas palīgu, kas ir saistīts ar Antropisks. Šādi incidenti ir sākuši atklāties biežāk, jo izstrādātāji ikdienas darbplūsmās paļaujas uz AI rīkiem.
Tiek ziņots, ka, nonākot iekšā, uzbrucēji izmantoja Tailscale piekļuvi, lai pārvietotos pa iekšējām sistēmām un iegūtu datus. Tādi rīki kā Tailscale tiek plaši izmantoti un tiek uzskatīti par drošiem, taču piekļuve lielā mērā ir atkarīga no konfigurācijas un akreditācijas datu higiēnas. Viena atklāta atslēga var izveidot ceļu visā tīklā.
Kas ir apdraudēts
Ja prasības būs spēkā, nokrišņi varētu izvērsties daudz tālāk par vienu uzņēmumu.
Personām video interviju un personu apliecinošu dokumentu atklāšana rada bažas, kas pārsniedz tipiskus datu pārkāpumus. Sejas un balss datus var izmantot dziļu viltojumu ģenerēšanai, un atšķirībā no parolēm biometriskos datus nevar atiestatīt.
Mercor avota koda un iekšējo sistēmu zaudēšana var iedragāt klientu uzticību, jo īpaši AI laboratorijas, kas ir atkarīgas no sensitīva novērtēšanas darba platformas. Tas var arī izraisīt pārbaudi saskaņā ar tādiem privātuma noteikumiem kā GDPR un CCPA.
AI nozarei sekas ir plašākas. Mercor atrodas tuvu progresīvo modeļu testēšanas un uzlabošanas darbplūsmām. Jebkāda noplūde, kas saistīta ar šiem procesiem, varētu sniegt ieskatu vadošo sistēmu veidošanā un novērtēšanā.
Pagaidām klusums
Līdz publikācijas brīdim Mercor nav izplatījis publisku paziņojumu. Tās tīmekļa vietnē un sociālajos kanālos nav nekādas atsauces uz incidentu, un lietotājiem tas nav oficiāli izpausts.
Tikmēr LAPSUS$ jau iepriekš ir izmantojis publiskas informācijas noplūdes, lai izdarītu spiedienu uz mērķiem. Grupa pirmo reizi pievērsa uzmanību 2022. gadā pēc tam, kad pārkāpa uzņēmumus, tostarp Microsoft un Nvidia. Pavisam nesen darbība, kas saistīta ar līdzīgām grupām, ir vērsta uz uzņēmumu platformām liela mēroga izspiešanas kampaņās.
Pieaugošs AI drošības modelis
Prasība tiek iesniegta laikā, kad mākslīgā intelekta jaunizveidotie uzņēmumi paplašinās milzīgā ātrumā. Darbā pieņemšana, infrastruktūra un produktu izstrāde bieži vien virzās uz priekšu ātrāk, nekā drošības prakse spēj neatpalikt. Šī plaisa kļūst par nepārprotamu iespēju uzbrucējiem.
Akreditācijas datu noplūde, iekšējo instrumentu iedarbība un trešo pušu integrācija tagad ir izplatītas vājās vietas. Tā kā uzņēmumi vairāk paļaujas uz AI atbalstītu attīstību, robeža starp produktivitāti un risku sāk izplūst.
Šis stāsts joprojām attīstās. Lietotāji, kuri ir pabeiguši intervijas vai iesnieguši personu apliecinošus dokumentus, izmantojot Mercor, var vēlēties rūpīgi sekot līdzi finanšu un tiešsaistes kontiem un apsvērt iespēju pievienot brīdinājumus par krāpšanu vai kredītu uzraudzību kā piesardzību.
Piezīme. Šis ziņojums ir balstīts uz publiski izplatītām LAPSUS$ prasībām un informāciju par Mercor darbību. Pārkāpums nav neatkarīgi pārbaudīts.
