Mercor证实其开源项目 LiteLLM 遭遇供应链攻击,该事件波及包括数千家企业在内的下游生态,成为近期AI基础设施安全领域的重大风险事件。

作为估值达100亿美元的知名人工智能招聘独创公司,Mercor周二透露,其核心项目LiteLLM被恶意注入代码,攻击源头指向黑客组织TeamPCP。与此同时,勒索组织Lapsus$也声称已窃取Mercor内部数据,并公开了包含Slack通讯记录、工单系统截图及AI系统对话视频的样本数据。目前,Mercor已聘请第三方取证专家展开调查,并迅速采取了控制补救措施,但尚未正面回应Lapsus$的索赔细节。

此次漏洞的核心在于LiteLLM这一高频使用的开源库。该项目日均下载量达百万级,旨在简化开发者对OpenAI、Anthropic等主流模型API的调用逻辑。恶意代码虽然在数小时内被识别并移除,但其作为供应链上游的广泛渗透力引发了行业对开源工具合规性的深度审视。

为此,LiteLLM已将合规认证机构紧急更换为Vanta。Mercor作为行业头部企业,其C轮融资额高达3.5亿美元,且每日处理支付金额超200万美元,此番安全震荡映射出AI产业链在高速扩张中,安全底座的脆弱性正成为影响模型训练与人才招募闭环的关键变量,行业亟需建立更严苛的开源组件监测机制。