Startup định giá 10 tỷ USD Mercor gặp khủng hoảng sau vụ rò rỉ dữ liệu nghiêm trọng

Chỉ sáu tháng trước, Mercor đang trên đỉnh cao sự nghiệp khi huy động thành công vòng Series C trị giá 350 triệu USD, đưa định giá của startup chuyên huấn luyện dữ liệu AI này lên mức 10 tỷ USD. Tuy nhiên, sau khi thừa nhận vào ngày 31/3 rằng mình là mục tiêu của một vụ tấn công mạng, công ty đã rơi vào tình thế khó khăn chưa từng có.

Kể từ đó, một nhóm tin tặc đã tuyên bố đã lấy được 4TB dữ liệu từ hệ thống của Mercor, bao gồm hồ sơ ứng viên, thông tin cá nhân (PII), dữ liệu nhà tuyển dụng, mã nguồn và các khóa API. Mercor chưa bình luận về tính xác thực của dữ liệu này, chỉ nhấn mạnh rằng họ đang điều tra và "sẽ tiếp tục giao tiếp trực tiếp với khách hàng và nhà thầu khi cần thiết, đồng thời dồn toàn lực để giải quyết vấn đề càng sớm càng tốt".

Lỗ hổng từ công cụ mã nguồn mở

Mercor cho biết vụ rò rỉ dữ liệu là kết quả của việc bị tấn công thông qua công cụ mã nguồn mở LiteLLM. Đây là một công cụ rất phổ biến với hàng triệu lượt tải xuống mỗi ngày. Trong vòng 40 phút, công cụ này đã bị cài cắm phần mềm độc hại chuyên đánh cắp thông tin đăng nhập (credential harvesting malware). Những thông tin đăng nhập bị đánh cắp này được sử dụng để xâm nhập vào nhiều phần mềm và tài khoản khác, từ đó tiếp tục thu thập thêm thông tin trong một chuỗi tấn công lan rộng.

Mặc dù chưa có sự thừa nhận chính thức về lượng dữ liệu cụ thể bị đánh cắp, nhưng những hậu quả đã bắt đầu nảy sinh. Các nguồn tin cho biết Meta đã vô thời hạn tạm dừng hợp đồng với Mercor. (Mercor từ chối bình luận về vấn đề này với TechCrunch).

Giống như các công ty khác chuyên huấn luyện dữ liệu AI theo hợp đồng, Mercor nắm giữ những bí mật thương mại lớn nhất của các nhà sản xuất mô hình: các tập dữ liệu tùy chỉnh và quy trình họ sử dụng để dạy cho các mô hình của mình. Điều này quan trọng đến mức ngay cả khi Meta đã chi 14,3 tỷ USD cho đối thủ cạnh tranh của Mercor là Scale AI, họ vẫn tiếp tục làm việc với Mercor.

Các ông lớn công nghệ cân nhắc lại quan hệ

Một tin tốt hơn một chút cho Mercor (có lẽ... chúng ta vẫn phải chờ xem): OpenAI cũng xác nhận với Wired rằng họ đang điều tra mức độ ảnh hưởng trong vụ vi phạm của Mercor, nhưng cho biết chưa tạm dừng hay chấm dứt hợp đồng vào thời điểm đó. Tuy nhiên, TechCrunch nhận được thông tin từ nhiều nguồn rằng các nhà sản xuất mô hình lớn khác cũng đang cân nhắc lại mối quan hệ của họ với Mercor sau vụ việc này, mặc dù chưa có đủ chi tiết để công bố danh sách cụ thể.

Trong thời gian chờ đợi, năm nhà thầu của Mercor đã đệ đơn kiện, theo báo cáo của Business Insider, liên quan đến việc lộ dữ liệu cá nhân của họ. Việc các vụ kiện này có phải là một mối đe dọa nghiêm trọng hay chỉ là hành động trục lợi và gây phiền toái vẫn còn là dấu hỏi lớn. (Mercor từ chối bình luận).

Một vụ kiện, được TechCrunch xem xét, thậm chí còn gọi tên LiteLLM và Delve là bị đơn. Điều này khá điên rồ, và có lẽ là một sự kéo dài trách nhiệm pháp lý, nhưng đây là mối liên hệ: LiteLLM đã sử dụng startup tuân thủ AI là Delve để lấy các chứng nhận bảo mật của mình. Delve đã bị một người tố giác ẩn danh cáo buộc giả mạo dữ liệu cho các chứng nhận bảo mật và sử dụng các kiểm toán viên chỉ đóng dấu "vô thưởng vô phạt".

Chứng nhận bảo mật không trực tiếp ngăn chặn tin tặc phát động các cuộc tấn công thành công, nhưng nó nhằm đảm bảo rằng các công ty có các quy trình để giảm thiểu các mối đe dọa như vậy.

Mặc dù Delve đã phủ nhận những cáo buộc này đồng thời thực hiện các thay đổi vận hành, công ty này cũng đang gặp rắc rối riêng, đến mức Y Combinator đã cắt đứt quan hệ với họ. LiteLLM đã chia tay Delve và hiện đang làm việc với một startup tuân thủ AI khác để lấy lại chứng nhận bảo mật. LiteLLM cũng đã công bố một báo cáo đầy đủ về sự cố bảo mật.

Tuy nhiên, Mercor xác nhận với TechCrunch rằng họ không phải là khách hàng của Delve. Dù vậy, nếu hậu quả đối với Mercor tiếp diễn, rất nhiều doanh thu có thể bị đe dọa. Một nguồn tin ẩn danh cho biết The Information, công ty được cho là đang trên đà đạt hơn 1 tỷ USD doanh thu tính theo năm trước khi vụ rò rỉ dữ liệu xảy ra.