给OpenAI和Anthropic训练模型的公司被黑了:Mercor确认遭攻击,Lapsus$称窃4TB数据
- 内容介绍
- 文章标签
- 相关推荐
AI 招聘平台 Mercor 确认遭受网络攻击,起因是开源 Python 库 LiteLLM 的供应链被攻破。Mercor 称自己是「数千家受影响公司之一」,已聘请第三方取证专家调查。
LiteLLM 是一个月下载量达 9700 万次的 Python 库,开发者用它作为统一接口连接 OpenAI、Anthropic 等超过 100 家 AI 服务。一个名为 TeamPCP 的黑客组织向 PyPI 上传了被注入恶意代码的 1.82.7 和 1.82.8 版本,代码会窃取 SSH 密钥、API token、.env 文件和云服务商凭证,并建立持久后门。安全公司 Snyk 发现后恶意版本在数小时内被下架,但暴露窗口已足以让攻击者入侵下游系统。
勒索黑客组织 Lapsus$ 随后在其泄露站点宣称对 Mercor 的攻击负责,声称共窃取约 4TB 数据,包括:
-
939GB 源代码
-
211GB 数据库
-
3TB 存储桶(据称包含视频面试录像、身份验证文件等)
-
TailScale VPN 全部数据
image1454×524 81.5 KB
image1568×1240 158 KB
https://cybernews.com/security/mercor-data-breach-litelllm-supply-chain-attack/
image1550×1022 136 KB
Y Combinator CEO Garry Tan 在 X 上直言:“现在中国拿到大量 SOTA 训练数据……价值数十亿美元的国家安全问题。” 这相当于把“如何让模型更聪明、更安全”的秘诀部分公开。
AI 招聘平台 Mercor 确认遭受网络攻击,起因是开源 Python 库 LiteLLM 的供应链被攻破。Mercor 称自己是「数千家受影响公司之一」,已聘请第三方取证专家调查。
LiteLLM 是一个月下载量达 9700 万次的 Python 库,开发者用它作为统一接口连接 OpenAI、Anthropic 等超过 100 家 AI 服务。一个名为 TeamPCP 的黑客组织向 PyPI 上传了被注入恶意代码的 1.82.7 和 1.82.8 版本,代码会窃取 SSH 密钥、API token、.env 文件和云服务商凭证,并建立持久后门。安全公司 Snyk 发现后恶意版本在数小时内被下架,但暴露窗口已足以让攻击者入侵下游系统。
勒索黑客组织 Lapsus$ 随后在其泄露站点宣称对 Mercor 的攻击负责,声称共窃取约 4TB 数据,包括:
-
939GB 源代码
-
211GB 数据库
-
3TB 存储桶(据称包含视频面试录像、身份验证文件等)
-
TailScale VPN 全部数据
image1454×524 81.5 KB
image1568×1240 158 KB
https://cybernews.com/security/mercor-data-breach-litelllm-supply-chain-attack/
image1550×1022 136 KB
Y Combinator CEO Garry Tan 在 X 上直言:“现在中国拿到大量 SOTA 训练数据……价值数十亿美元的国家安全问题。” 这相当于把“如何让模型更聪明、更安全”的秘诀部分公开。