Η αμερικανική startup Mercor επιβεβαίωσε σοβαρό περιστατικό ασφαλείας, συνδεδεμένο με supply chain επίθεση στο open‑source έργο LiteLLM. Η υπόθεση φωτίζει τις συστημικές αδυναμίες στην αλυσίδα λογισμικού της τεχνητής νοημοσύνης.
Η Mercor, μία από τις πλέον προβεβλημένες νεοφυείς επιχειρήσεις στον χώρο της τεχνητής νοημοσύνης για προσλήψεις, επιβεβαίωσε ότι έπεσε θύμα κυβερνοεπίθεσης η οποία συνδέεται με την πρόσφατη παραβίαση του open‑source έργου LiteLLM. Το περιστατικό εντάσσεται σε ένα ευρύτερο supply chain attack, το οποίο εκτιμάται ότι επηρέασε «χιλιάδες εταιρείες» που χρησιμοποιούν τη συγκεκριμένη βιβλιοθήκη.
Η επίθεση, οι χάκερ και ο ρόλος του LiteLLM
Σύμφωνα με τη Mercor, η κυβερνοεπίθεση σχετίζεται με την πρόσφατη εισαγωγή κακόβουλου κώδικα σε πακέτο του LiteLLM, μιας ιδιαίτερα δημοφιλούς open‑source βιβλιοθήκης διασύνδεσης με μοντέλα τεχνητής νοημοσύνης, η οποία κατεβάζεται εκατομμύρια φορές ημερησίως. Η παραβίαση του LiteLLM αποδίδεται στην ομάδα TeamPCP, με τις έρευνες να συνεχίζονται για το εύρος της ζημιάς.
Παράλληλα, η διαβόητη εκβιαστική ομάδα χάκερ Lapsus$ ανέλαβε την ευθύνη για στοχευμένη επίθεση στη Mercor, υποστηρίζοντας ότι απέσπασε δεδομένα από τα συστήματά της. Δεν είναι προς το παρόν σαφές με ποιον ακριβώς τρόπο η Lapsus$ απέκτησε τα δεδομένα αυτά ούτε πώς συνδέεται επιχειρησιακά με την TeamPCP.
Η Mercor δηλώνει ότι κινήθηκε άμεσα για τον περιορισμό και την αποκατάσταση του περιστατικού, με τη συνδρομή εξειδικευμένων εταιρειών ψηφιακής εγκληματολογίας. Η εκπρόσωπος της εταιρείας, Χάιντι Χάγκμπεργκ, τόνισε ότι βρίσκεται σε εξέλιξη «διεξοδική έρευνα» και ότι η ενημέρωση πελατών και συνεργατών θα συνεχιστεί «όπως κριθεί σκόπιμο». Ωστόσο, απέφυγε να απαντήσει αν πράγματι έχουν διαρρεύσει δεδομένα πελατών ή συνεργατών.
Έκθεση κρίσιμων δεδομένων και συστημικός κίνδυνος για το οικοσύστημα AI
Δείγμα των υποκλαπέντων δεδομένων που ανήρτησε η Lapsus$ περιλαμβάνει αναφορές σε πληροφορίες από Slack, ticketing συστήματα, καθώς και βίντεο που φέρεται να απεικονίζουν συνομιλίες μεταξύ των AI συστημάτων της Mercor και συνεργατών στην πλατφόρμα της. Αν επιβεβαιωθεί η αυθεντικότητα και η έκταση αυτών των δεδομένων, το πλήγμα για την αξιοπιστία της εταιρείας θα είναι σημαντικό.
Η Mercor, που ιδρύθηκε το 2023, εξειδικεύεται στη διασύνδεση εταιρειών, όπως η OpenAI και η Anthropic, με εξειδικευμένους επιστήμονες, γιατρούς και νομικούς, κυρίως από αγορές όπως η Ινδία, ώστε να εκπαιδεύουν μοντέλα τεχνητής νοημοσύνης. Η εταιρεία δηλώνει ότι διαχειρίζεται άνω των 2 εκατ. δολαρίων σε ημερήσιες πληρωμές προς συνεργάτες και αποτιμήθηκε σε 10 δισ. δολάρια μετά από γύρο Series C ύψους 350 εκατ. δολαρίων τον Οκτώβριο του 2025.
Η υπόθεση υπογραμμίζει τον αυξανόμενο συστημικό κίνδυνο που δημιουργεί η εξάρτηση του παγκόσμιου οικοσυστήματος AI από λίγες, ευρέως χρησιμοποιούμενες open‑source βιβλιοθήκες. Η παραβίαση στο LiteLLM, παρότι ο κακόβουλος κώδικας αφαιρέθηκε εντός ωρών, ανάγκασε την εταιρεία να αναθεωρήσει τις διαδικασίες συμμόρφωσης, αλλάζοντας πάροχο ελέγχων και πιστοποιήσεων. Παραμένει ωστόσο άγνωστο πόσες εταιρείες επηρεάστηκαν και αν υπήρξε ουσιαστική διαρροή ευαίσθητων δεδομένων.
Για τις επιχειρήσεις που επενδύουν στην τεχνητή νοημοσύνη, το περιστατικό λειτουργεί ως προειδοποίηση: ακόμη και προηγμένα, υψηλής αξίας οικοσυστήματα μπορούν να καταστούν ευάλωτα, όταν η αλυσίδα λογισμικού τους στηρίζεται σε έργα που, αν και ανοικτού κώδικα, δεν διαθέτουν πάντα τις απαιτούμενες δικλίδες ασφαλείας και ελέγχου.
Σχόλιο 
: Η υπόθεση Mercor‑LiteLLM είναι κλασικό παράδειγμα «σιωπηλού» συστημικού ρίσκου: μια φαινομενικά τεχνική ευπάθεια σε open‑source βιβλιοθήκη μπορεί να εξελιχθεί σε κρίση εμπιστοσύνης για ολόκληρο το οικοσύστημα AI, με νομικές, κανονιστικές και επιχειρηματικές προεκτάσεις. Οι ευρωπαϊκές και ελληνικές εταιρείες που υιοθετούν μαζικά open‑source εργαλεία σε κρίσιμες ροές δεδομένων οφείλουν να επανεξετάσουν άμεσα τα μοντέλα διακυβέρνησης λογισμικού και τις απαιτήσεις due diligence απέναντι σε τρίτες βιβλιοθήκες.
#κυβερνοασφάλεια #Mercor #LiteLLM #AI #δεδομένα #startups
