TechFlow rapporte que, le 3 avril, selon Fortune, Mercor, une startup fournissant des données d’entraînement à des entreprises d’intelligence artificielle telles qu’OpenAI, Anthropic et Meta, a confirmé avoir subi une importante faille de sécurité. Cet incident résulte d’une attaque contre la chaîne d’approvisionnement ciblant la bibliothèque open source LiteLLM, largement utilisée par les développeurs pour connecter des services d’IA et téléchargée plusieurs millions de fois par jour.
L’attaque a été menée par le groupe de hackers TeamPCP, qui a injecté du code malveillant dans LiteLLM afin de voler des identifiants. Un autre groupe de pirates informatiques, Lapsus$, a ensuite affirmé avoir obtenu jusqu’à 4 téraoctets (To) de données appartenant à Mercor, notamment des codes sources, des enregistrements de bases de données, des échanges internes sur Slack ainsi que des vidéos de dialogues provenant de la plateforme. Selon des rapports non vérifiés, des jeux de données appartenant à certains clients de Mercor, ainsi que des informations confidentielles relatives à leurs projets d’IA, auraient pu être divulgués. Mercor indique avoir immédiatement pris des mesures pour contenir l’incident et avoir lancé une enquête forensic menée par un tiers.
