估值百亿AI数据训练巨头Mercor遭数据泄露，Meta暂停合作，开源工具成安全软肋

一家估值高达百亿美元的AI数据训练明星初创公司，在完成巨额融资仅半年后，便因一场大规模数据泄露事件陷入前所未有的危机。市场消息显示，此次泄露源于一个被广泛使用的开源工具漏洞，不仅导致数TB敏感数据外泄，更引发了核心客户暂停合作、多起法律诉讼等一系列连锁反应，为整个AI数据服务行业敲响了安全警钟。

从云端跌落：数据泄露事件始末与连锁反应

今年3月底，这家名为Mercor的AI数据训练公司公开承认其系统遭到入侵。随后，有黑客组织声称已获取了高达4TB的被盗数据，内容涵盖候选人档案、个人身份信息 (PII)、雇主数据、核心源代码以及API密钥等极度敏感的内容。该公司在一份最新声明中重申正在全力调查，并表示将直接与客户和承包商沟通，投入必要资源尽快解决问题，但未对泄露数据的真实性置评。

事件的直接导火索指向了开源工具LiteLLM。该工具因其高效便捷，在开发者社区中被广泛使用，日下载量达数百万次。据披露，该工具曾一度被植入了用于窃取登录凭证的恶意软件，攻击者利用这些凭证进行横向移动，最终渗透至Mercor的系统内部。这一事件暴露了现代AI开发中，对第三方开源组件安全管理的严重疏忽。

泄露事件的后果迅速显现。最新行业动态指出，科技巨头Meta已无限期暂停了与Mercor的合作合同。对于像Mercor这样的AI数据训练服务商而言，其核心价值在于处理模型制造商最核心的商业机密——用于训练AI模型的定制数据集和流程。此前，即使Meta已向Mercor的竞争对手Scale AI投入巨资，仍继续与Mercor保持合作，足见其业务的重要性。如今合作暂停，无疑是对Mercor业务的沉重打击。

开源工具安全认证疑云：LiteLLM与Delve的连带责任

此次事件将另一个关键角色——AI合规初创公司Delve——推上了风口浪尖。一份已被公开的法律文件显示，有诉讼甚至将LiteLLM和Delve列为共同被告。其关联在于，LiteLLM此前正是通过Delve来获取其安全认证。然而，有匿名举报者指控Delve涉嫌伪造安全认证数据，并与审计机构进行“橡皮图章”式的合作。

尽管安全认证本身并不能直接阻止黑客攻击，但其核心目的是确保企业拥有完善的风险管控流程。Delve已否认相关指控并进行了运营调整，但其自身也深陷困境，甚至已被知名创业孵化器Y Combinator终止合作。目前，LiteLLM已更换合规服务商，重新申请安全认证，并发布了完整的安全事件报告。Mercor方面则确认其本身并非Delve的客户。

业务与法律双重危机：营收受损与诉讼缠身

数据泄露的负面影响正在向业务和法律层面蔓延。熟悉内情的人士透露，在泄露事件发生前，Mercor的年化营收增速迅猛，有望突破10亿美元大关。然而，核心客户的动摇为其未来营收蒙上了巨大阴影。除了Meta，有消息称其他多家大型AI模型制造商也在重新评估与Mercor的合作关系。

与此同时，法律风险接踵而至。据悉，已有至少五名Mercor的承包商因其个人数据可能遭泄露而提起了诉讼。这些诉讼最终是构成实质性威胁，还是仅为机会主义的滋扰，尚待观察，但它们无疑消耗着公司的管理资源和公众信任。

行业影响与未来展望：AI数据服务的安全十字路口

Mercor事件绝非孤例，它尖锐地揭示了AI产业链中一个关键但脆弱的环节——数据训练服务的安全性。随着AI模型竞争进入白热化，用于训练模型的专有数据已成为科技公司最核心的资产。将如此关键的环节外包，本身就伴随着巨大的信任和安全风险。

此次事件将促使整个行业进行深刻反思：

• 供应链安全成为重中之重：企业必须对第三方工具、开源组件乃至服务商进行更严格的安全审计和持续监控。“信任但要验证”将成为行业新准则。
• 合规认证的真实性面临考验：Delve事件暴露出安全认证流程可能存在的漏洞。未来，客户对服务商安全资质的审查将更加审慎和深入，而不仅仅是看一纸证书。
• 数据主权与责任界定：当数据通过复杂供应链被处理时，泄露责任如何界定？相关法律诉讼的发展，将为行业确立重要的责任判例。

对于Mercor而言，其能否度过此次危机，不仅取决于技术层面的漏洞修补，更取决于其危机公关、客户关系维护以及法律应对的综合能力。对于整个AI数据服务行业，这起百亿估值明星公司的“滑铁卢”，是一次代价高昂但极其必要的安全警醒，标志着行业将从野蛮生长转向安全与合规驱动的新阶段。