TechFlow đưa tin, ngày 03 tháng 04, theo báo cáo của tạp chí Fortune, công ty khởi nghiệp Mercor—cung cấp dữ liệu huấn luyện cho các công ty AI như OpenAI, Anthropic và Meta—đã xác nhận gặp phải một lỗ hổng bảo mật nghiêm trọng. Sự việc bắt nguồn từ một cuộc tấn công chuỗi cung ứng nhắm vào thư viện mã nguồn mở LiteLLM, thư viện này được các nhà phát triển sử dụng rộng rãi để kết nối với các dịch vụ AI và có lượng tải xuống hàng ngày lên tới hàng triệu lần.
Cuộc tấn công do nhóm tin tặc TeamPCP thực hiện, thông qua việc chèn mã độc vào LiteLLM nhằm đánh cắp thông tin đăng nhập. Sau đó, một nhóm tin tặc khác là Lapsus$ tuyên bố đã chiếm được tới 4 TB dữ liệu của Mercor, bao gồm mã nguồn, bản ghi cơ sở dữ liệu, tin nhắn nội bộ trên Slack và video ghi lại các cuộc hội thoại trên nền tảng. Theo một báo cáo chưa được xác minh, tập dữ liệu của một số khách hàng Mercor cũng như thông tin về các dự án AI mật của họ có thể đã bị rò rỉ. Mercor cho biết công ty đã nhanh chóng triển khai các biện pháp kiểm soát sự cố và đã khởi động cuộc điều tra kỹ thuật số độc lập do bên thứ ba thực hiện.
