Após a violação de dados, a Mercor, startup avaliada em US$ 10 bilhões, está tendo um mês

Há seis meses, a Mercor estava voando alto depois de arrecadar enormes US$ 350 milhões na Série C que avaliou a startup de treinamento de dados de IA em US$ 10 bilhões. Mas depois de admitir em 31 de março que foi alvo de uma violação de dadosa empresa tem enfrentado um mundo de problemas.

Desde então, um grupo de hackers alegou ter obtido 4 TB de dados roubados dos sistemas da Mercor, incluindo perfis de candidatos, informações de identificação pessoal, dados de empregadores, código-fonte e chaves de API. A Mercor não comentou a autenticidade dos dados, reiterando apenas que está investigando e “continuará a se comunicar diretamente com nossos clientes e contratados conforme apropriado e a dedicar os recursos necessários para resolver o assunto o mais rápido possível”.

A Mercor disse que sua violação de dados foi o resultado de um hack da ferramenta de código aberto LiteLLM. Esta ferramenta é tão popular que é baixada milhões de vezes por dia. Por 40 minutos, a ferramenta abrigou malware de coleta de credenciais – software nocivo que poderia roubar credenciais de login. Essas credenciais foram usadas para obter acesso a mais software e contas, que foram usadas para coletar mais credenciais e assim por diante.

Embora não tenha havido reconhecimento formal de quantos dados foram recolhidos da Mercor, houve repercussões mesmo assim. A Meta pausou seus contratos com a Mercor indefinidamente, fontes disseram à Wired. (A Mercor se recusou a comentar ao TechCrunch sobre isso.)

Como outras empresas contratadas de treinamento de dados de IA, a Mercor lida com alguns dos maiores segredos comerciais dos fabricantes de modelos: os conjuntos de dados personalizados e os processos que eles usam para ensinar seus modelos. Isto é tão importante para eles que mesmo depois de Meta gastar US$ 14,3 bilhões na Scale AI, concorrente da Mercorcontinuou trabalhando com a Mercor.

Uma boa notícia para a Mercor (talvez… veremos): a OpenAI também confirmou à Wired que estava investigando sua exposição na violação da Mercor, mas disse que não havia pausado ou encerrado seus contratos na época. No entanto, o TechCrunch ouviu de várias fontes que outros grandes fabricantes de modelos também podem estar avaliando seus relacionamentos com a Mercor após a violação, embora ainda não tenhamos confirmado detalhes suficientes para citar nomes.

Entretanto, cinco dos empreiteiros da Mercor entraram com ações judiciais, Relatórios do Business Insidersobre sua suposta exposição de dados pessoais. Ainda não se sabe se esses processos representam uma ameaça séria ou são apenas oportunistas e um incômodo. (Mercor se recusou a comentar.)

Um processo, analisado pelo TechCrunch, chegou a nomear LiteLLM e Delve como réus. Isso é selvagem, e talvez um exagero, mas aqui está a conexão: LiteLLM usou a startup de conformidade de IA Delve para obter suas certificações de segurança. Aprofundar foi acusado por um denunciante anônimo de supostamente falsificar dados para certificações de segurança e usar auditores carimbadores.

Uma certificação de segurança não impede diretamente que hackers lancem ataques bem-sucedidos, mas visa garantir que as empresas tenham processos em vigor para minimizar tais ameaças.

Embora Delve tenha negado essas acusações e, ao mesmo tempo, instituído mudanças operacionais, ela tem sido um mundo de sofrimento por si só, ao ponto em que Y Combinator rompeu os laços com a empresa.

LiteLLM abandonou Delve e agora está trabalhando com outra startup de conformidade com IA para obter novamente suas certificações de segurança. LiteLLM também publicou um relatório completo sobre o incidente de segurança.

Mas a própria Mercor não era cliente da Delve, confirmou a empresa ao TechCrunch. Se, no entanto, as consequências para a Mercor continuarem, muitas receitas poderão estar em jogo. A empresa estava supostamente a caminho de atingir mais de US$ 1 bilhão em receita anualizada no início deste ano, antes do vazamento de dados, um fonte anônima disse ao The Information.