AI安全警报：OpenAI/Anthropic服务商遭4TB数据泄露，AI资讯揭示供应链风险

type

status

date

slug

summary

AI行业震动：为OpenAI和Anthropic提供服务的公司Mercor遭遇史诗级数据泄露

近期，AI领域再次响起了警钟。一家为OpenAI和Anthropic等顶级人工智能实验室提供关键数据标注服务的独角兽公司Mercor，不幸成为了大规模供应链攻击的受害者。此次事件导致高达4TB的敏感数据在暗网上被公开拍卖，不仅暴露了Mercor自身的巨大安全漏洞，更将AI行业深藏的供应链安全风险推到了聚光灯下。对于关注AI发展、寻求最新AI资讯的用户而言，这无疑是一个值得深入探讨的重大事件，它提醒我们，在享受人工智能带来的便利时，数据安全与隐私保护同样不容忽视。

攻击链条揭秘：一场精心策划的多层级供应链攻击

此次针对Mercor的攻击并非孤立事件，而是一场由黑客组织TeamPCP精心策划的多层级供应链攻击的冰山一角。整个攻击链条环环相扣，展现了攻击者的高度专业性和耐心：

开源工具沦陷：攻击始于对开源漏洞扫描工具Trivy CI/CD流水线的攻破。TeamPCP利用未完全轮换的凭证，将恶意代码植入Trivy的信任版本中。这些恶意代码能够窃取构建环境中的敏感信息，如云凭证和SSH密钥。

AI基础设施受害：随后，攻击者利用从Trivy窃取的凭证，进一步攻陷了Checkmarx的KICS代码扫描工具，并将投毒的LiteLLM版本发布到PyPI上。LiteLLM是一个极其流行的开源LLM API代理库，为众多大模型服务提供统一接口。其在短短40分钟内被下载，足以导致大量下游用户感染。

Mercor成为最终目标：Mercor作为LiteLLM的用户之一，不幸中招。通过LiteLLM，攻击者成功渗透Mercor的内部网络，并最终利用其Tailscale VPN窃取了海量数据。

这一系列攻击利用了软件依赖关系的信任链条，从看似无害的开源安全工具，一路渗透到关键的AI基础设施，最终触及终端企业，其复杂性和破坏力令人震惊。

数据泄露范围与潜在影响：远超想象的危机

Lapsus$黑客组织在暗网公开拍卖的数据量高达4TB，其内容令人不安：

平台源代码：939GB的Mercor平台源代码，可能包含核心业务逻辑和潜在漏洞。

用户数据库：超过211GB的用户数据库，涉及用户个人信息。

存储桶内容：约3TB的数据，包括大量视频面试录像、承包商的护照扫描件和各类身份验证材料。这些生物特征数据一旦泄露，其后果将是持久且无法逆转的。

更令人担忧的是，泄露样本中还出现了疑似Mercor客户的内部代号，如Amazon、Meta、Apple等。这意味着，此次泄露的影响范围可能远不止Mercor自身，其顶级客户的数据安全也可能面临威胁。对于全球的AI门户和AI资讯平台而言，这无疑是一个值得持续关注的焦点。

AI安全警钟长鸣：供应链风险与未来展望

Mercor事件再次敲响了AI安全的警钟，尤其是在AI大模型技术飞速发展的当下。它揭示了几个关键问题：

供应链安全的重要性：AI生态系统日益复杂，依赖大量的开源组件和第三方服务。任何一个环节的薄弱都可能导致整个链条的崩溃。企业必须对供应链中的每一个环节进行严格的安全审计。

生物特征数据泄露的风险：视频面试录像和身份证明文件中的生物特征数据，如面部特征、声音等，一旦泄露将是永久性的安全隐患，无法像密码一样轻松重置。

协作与勒索升级：TeamPCP与Lapsus$等多个黑客团伙的合作，预示着未来的网络攻击将更加复杂和有组织，勒索行为也可能升级。

对于依赖大模型API服务的企业和个人，以及所有关注AI发展、获取AI资讯的用户来说，加强自身安全防范、及时更新系统、审查第三方依赖至关重要。此次事件也促使整个AI行业，包括OpenAI、Anthropic等巨头，重新审视其数据安全策略和供应链风险管理。未来，AI安全将成为AI发展中不可或缺的核心议题，需要全行业共同努力，构建更坚固的数字堡垒。关注AI资讯，了解最新的安全动态，是每个AI参与者的必修课。

访问 https://aigc.bar 获取更多AI、AI资讯、AI新闻、AI门户、AGI、LLM、大模型、提示词、openai、chatGPT、人工智能、claude、AI日报、Prompt、AI变现等相关信息。