Mercor-ზე კიბერშეტევა განხორციელდა: AI რეკრუტირების სტარტაპი LiteLLM-ის პროექტის გატეხვის მსხვერპლი გახდა
AI რეკრუტირების სტარტაპმა Mercor-მა დაადასტურა კიბერშეტევა, რომელიც LiteLLM-ის ღია კოდის პროექტის გატეხვას უკავშირდება. ჰაკერული ჯგუფი Lapsus$ მონაცემების მოპოვებაზე აცხადებს პრეტენზიას.
AI რეკრუტირების პოპულარულმა სტარტაპმა, Mercor-მა, დაადასტურა უსაფრთხოების ინციდენტი, რომელიც დაკავშირებულია ღია კოდის (open-source) პროექტ LiteLLM-ზე განხორციელებულ მიწოდების ჯაჭვის შეტევასთან (supply chain attack). კომპანიამ TechCrunch-თან საუბრისას განაცხადა, რომ ის ერთ-ერთია იმ ათასობით კომპანიას შორის, რომლებზეც LiteLLM-ის პროექტის კომპრომეტირებამ მოახდინა გავლენა. აღნიშნული შემთხვევა ჰაკერულ ჯგუფ TeamPCP-ს უკავშირდება.
ინციდენტის დადასტურება მოჰყვა ჰაკერული ჯგუფის, Lapsus$-ის განცხადებას, რომელმაც Mercor-ზე თავდასხმასა და მის მონაცემებზე წვდომის მოპოვებაზე აიღო პასუხისმგებლობა. ამ ეტაპზე ზუსტად არ არის ცნობილი, თუ როგორ ჩაუვარდათ ხელში Lapsus$-ის წევრებს TeamPCP-ის მიერ მოპოვებული მონაცემები.
Mercor 2023 წელს დაარსდა და ის ისეთ გიგანტებთან თანამშრომლობს AI მოდელების მოსამზადებლად, როგორებიცაა OpenAI და Anthropic. კომპანია სხვადასხვა სფეროს სპეციალისტებს, მათ შორის მეცნიერებს, ექიმებსა და იურისტებს ქირაობს, ძირითადად ინდოეთის ბაზრიდან. სტარტაპის ინფორმაციით, ყოველდღიური გადახდების მოცულობა 2 მილიონ დოლარს აჭარბებს, ხოლო 2025 წლის ოქტომბერში, Felicis Ventures-ის მიერ მართული C სერიის დაფინანსების რაუნდის შემდეგ, კომპანიის ღირებულება 10 მილიარდ დოლარად შეფასდა.
რეაგირება და გამოძიება
Mercor-ის წარმომადგენელმა, ჰეიდი ჰაგბერგმა, დაადასტურა, რომ კომპანიამ ოპერატიულად იმოქმედა ინციდენტის ლოკალიზაციისა და აღმოფხვრის მიზნით. „ჩვენ ვატარებთ საფუძვლიან გამოძიებას წამყვანი დამოუკიდებელი ექსპერტების მონაწილეობით“, — განაცხადა ჰაგბერგმა. მისივე თქმით, კომპანია გააგრძელებს პირდაპირ კომუნიკაციას მომხმარებლებთან და კონტრაქტორებთან და გამოყოფს საჭირო რესურსებს პრობლემის დროულად მოსაგვარებლად.
მანამდე Lapsus$-მა თავის ვებგვერდზე გამოაქვეყნა ინფორმაცია მონაცემთა სავარაუდო გაჟონვის შესახებ და გააზიარა Mercor-იდან მოპოვებული მასალების ნიმუშები, რომლებიც TechCrunch-მა შეისწავლა. ნიმუშები მოიცავდა Slack-ის მიმოწერებს, ე.წ. „თიქეთინგის“ (ticketing) მონაცემებს და ორ ვიდეოს, სადაც ასახული იყო კომუნიკაცია Mercor-ის AI სისტემებსა და პლატფორმაზე დასაქმებულ კონტრაქტორებს შორის.
ჰაგბერგმა თავი შეიკავა პასუხისგან კითხვაზე, იყო თუ არა ინციდენტი პირდაპირ კავშირში Lapsus$-ის განცხადებებთან, ან მოხდა თუ არა მომხმარებელთა და კონტრაქტორთა პერსონალური მონაცემების ექსფილტრაცია ან ბოროტად გამოყენება.
LiteLLM-ის კომპრომეტირების დეტალები
LiteLLM-ის უსაფრთხოების პრობლემა გასულ კვირას გამოაშკარავდა, როდესაც Y Combinator-ის მიერ მხარდაჭერილი სტარტაპის ღია კოდის პროექტში მავნე კოდი აღმოაჩინეს. მიუხედავად იმისა, რომ საფრთხე რამდენიმე საათში აღმოიფხვრა, ინციდენტმა დიდი ყურადღება მიიპყრო LiteLLM-ის ფართო გამოყენების გამო — უსაფრთხოების ფირმა Snyk-ის მონაცემებით, ამ ბიბლიოთეკას დღეში მილიონობითჯერ ტვირთავენ.
მომხდარის გამო LiteLLM-მა ცვლილებები შეიტანა შესაბამისობის (compliance) პროცესებში და სერტიფიცირებისთვის სტარტაპ Delve-ის ნაცვლად Vanta-სთან დაიწყო თანამშრომლობა. ამ დროისთვის კვლავ უცნობია, ზუსტად რამდენი კომპანია დაზარალდა LiteLLM-ის ინციდენტის შედეგად ან რა მასშტაბის მონაცემთა გაჟონვა მოხდა, რადგან გამოძიება კვლავ გრძელდება.
მსგავსი სტატიები
OpenAI-ის წინააღმდეგ აშშ-ის რამდენიმე შტატის გენერალური პროკურორი გამოძიებას იწყებს
OpenAI-ის წინააღმდეგ აშშ-ის რამდენიმე შტატის გენერალურმა პროკურორმა გამოძიება დაიწყო. ნიუ-იორკის პროკურატურა კომპანიისგან მონაცემთა დაცვისა და უსაფრთხოების შესახებ დოკუმენტაციას ითხოვს.
Amazon-ის აღმასრულებელი დირექტორი Anthropic-ის მოდელებთან დაკავშირებით შეშფოთებას გამოთქვამს: რა გახდა სამთავრობო შეზღუდვების მიზეზი?
Amazon-ის აღმასრულებელი დირექტორის, ენდი ჯასის მიერ გამოთქმული უსაფრთხოების რისკების გამო, აშშ-ის მთავრობამ Anthropic-ის ორ მოდელზე ექსპორტის აკრძალვა დააწესა.
Anthropic-ის უსაფრთხოების გაფრთხილებებმა საპირისპირო შედეგი გამოიღო — მთავრობამ კომპანიის ყველაზე მძლავრი AI მოდელები დაბლოკა
აშშ-ის მთავრობამ Anthropic-ს მისი ყველაზე მძლავრი AI მოდელების, Claude Fable 5-ისა და Mythos 5-ის გათიშვა უბრძანა. მიზეზად ეროვნული უსაფრთხოება და მოდელების შესაძლო „გატეხვა“ დასახელდა.