估值百亿AI训练公司Mercor遭五起数据泄露诉讼

一周内，针对估值100亿美元的AI训练初创公司Mercor的联邦诉讼已累计达至少五起。承包商们指控，由于该公司存在疏忽，导致其社会安全号码、家庭住址及面试录像在一次供应链网络攻击后遭黑客窃取。

上述诉讼分别在加利福尼亚州和德克萨斯州的联邦法院提起，指控Mercor违反数据隐私及消费者保护法律，并要求赔偿金额待定的损失。其中一起诉讼还将Berrie AI和Delve Technologies列为被告——前者是此次数据泄露事件核心所在、开源库LiteLLM的开发方，后者则是曾为Berrie安全标准提供认证的合规审计公司。

数据泄露事件

Mercor于3月31日确认，该公司是LiteLLM供应链攻击事件中“数千家受影响企业之一”。LiteLLM是一款被广泛使用的开源工具，用于将应用程序连接至AI服务。据《财富》杂志报道，此次攻击与一个名为TeamPCP的黑客组织有关，该组织在LiteLLM中植入了恶意代码，专门用于窃取凭据，但在数小时内便被发现并清除。

随后，勒索组织Lapsus$宣称已入侵Mercor并获取了其数据，并在其泄露网站上公布了部分样本，内容包括Slack通讯记录、内部工单数据，以及Mercor AI系统与承包商之间的对话视频。该组织声称已掌握多达四太字节（TB）的窃取数据，涵盖源代码和数据库记录。

安全分析人士对泄露内容的性质表示高度警惕。Mercor平台会收集其招募的领域专家的高清视频面试录像、政府颁发的身份证件以及生物特征数据——这使得此次泄露极有可能成为深度伪造（Deepfake）和声音克隆攻击的“宝库”。YouTube视频LinkedIn帖子

Meta暂停与Mercor的合作

据《连线》杂志报道，Meta已无限期暂停与Mercor的所有合作，同时展开调查。其他主要AI实验室也在重新审视与该公司的合作关系。据报道，负责Meta相关项目的承包商自暂停以来一直无法登记工时，导致部分人员失去收入来源。

原告之一NaTivia Esson在由律师事务所Strauss Borrelli提交的诉状中表示，她于2025年3月至2026年3月期间为Mercor工作，每次接受任务时都会填写包含个人信息的W-9表格，并相信该公司会妥善保护这些信息。雅虎新闻

更广泛的影响

4月1日，一项集体诉讼在加利福尼亚北区法院提起，指控此次数据泄露涉及逾4万人，并声称Mercor未能实施多因素认证及敏感数据加密等基本安全措施。索赔网站

Mercor拒绝就相关诉讼置评，但此前曾发表声明称“客户和承包商的隐私与安全是我们一切工作的基石”，并表示第三方取证调查正在进行中。安全研究人员警告称，Mercor很可能只是LiteLLM漏洞更大范围波及中，第一个——而非最后一个——在法律和业务层面承担后果的下游受害者。