Mercor證實其開源項目 LiteLLM 遭遇供應鏈攻擊,該事件波及包括數千家企業在內的下游生態,成爲近期AI基礎設施安全領域的重大風險事件。

作爲估值達100億美元的知名人工智能招聘獨創公司,Mercor週二透露,其核心項目LiteLLM被惡意注入代碼,攻擊源頭指向黑客組織TeamPCP。與此同時,勒索組織Lapsus$也聲稱已竊取Mercor內部數據,並公開了包含Slack通訊記錄、工單系統截圖及AI系統對話視頻的樣本數據。目前,Mercor已聘請第三方取證專家展開調查,並迅速採取了控制補救措施,但尚未正面迴應Lapsus$的索賠細節。

此次漏洞的核心在於LiteLLM這一高頻使用的開源庫。該項目日均下載量達百萬級,旨在簡化開發者對OpenAI、Anthropic等主流模型API的調用邏輯。惡意代碼雖然在數小時內被識別並移除,但其作爲供應鏈上游的廣泛滲透力引發了行業對開源工具合規性的深度審視。

爲此,LiteLLM已將合規認證機構緊急更換爲Vanta。Mercor作爲行業頭部企業,其C輪融資額高達3.5億美元,且每日處理支付金額超200萬美元,此番安全震盪映射出AI產業鏈在高速擴張中,安全底座的脆弱性正成爲影響模型訓練與人才招募閉環的關鍵變量,行業亟需建立更嚴苛的開源組件監測機制。