CoinGeckoの報道によると、4月3日、Fortuneによれば、OpenAI、Anthropic、MetaなどのAI企業に学習データを提供しているスタートアップのMercorが重大なセキュリティ脆弱性に遭遇したことを確認した。今回の事案は、開発者が広くAIサービスを接続するために利用しているオープンソースライブラリLiteLLMに対するサプライチェーン攻撃に端を発しており、日次のダウンロード数は数百万回に達する。 攻撃はハッカー集団TeamPCPによって開始され、LiteLLMに悪意のあるコードを仕込んで認証情報を窃取した。別のハッカー集団Lapsus$はその後、Mercorの最大4TBのデータを入手したと主張し、ソースコード、データベース記録、社内Slackのやり取り、プラットフォームの対話動画などが含まれるとしている。未確認の報告によれば、Mercorの一部顧客のデータセットや、その機密AIプロジェクト情報が漏えいしている可能性がある。Mercorは事態の封じ込めに向けて迅速に対策を講じており、第三者によるフォレンジック調査を開始したとしている。
AIデータ企業Mercorが大規模なデータ漏洩を確認、OpenAIやAnthropicなどの顧客が含まれる
CoinGeckoの報道によると、4月3日、Fortuneによれば、OpenAI、Anthropic、MetaなどのAI企業に学習データを提供しているスタートアップのMercorが重大なセキュリティ脆弱性に遭遇したことを確認した。今回の事案は、開発者が広くAIサービスを接続するために利用しているオープンソースライブラリLiteLLMに対するサプライチェーン攻撃に端を発しており、日次のダウンロード数は数百万回に達する。 攻撃はハッカー集団TeamPCPによって開始され、LiteLLMに悪意のあるコードを仕込んで認証情報を窃取した。別のハッカー集団Lapsus$はその後、Mercorの最大4TBのデータを入手したと主張し、ソースコード、データベース記録、社内Slackのやり取り、プラットフォームの対話動画などが含まれるとしている。未確認の報告によれば、Mercorの一部顧客のデータセットや、その機密AIプロジェクト情報が漏えいしている可能性がある。Mercorは事態の封じ込めに向けて迅速に対策を講じており、第三者によるフォレンジック調査を開始したとしている。