INTRODUÇÃO: A Mercor, startup de treinamento de dados para IA que alcançou valorização de US$ 10 bilhões após rodada de investimento, enfrenta uma crise de segurança cibernética sem precedentes. Seis meses após celebrar um financiamento de US$ 350 milhões, a empresa admitiu em 31 de março ter sido alvo de uma violação de dados que comprometeu informações sensíveis de clientes e parceiros.
DESENVOLVIMENTO: Um grupo de hackers afirma ter obtido 4 terabytes de dados dos sistemas da Mercor, incluindo perfis de candidatos, informações pessoais identificáveis, dados de empregadores, código-fonte e chaves de API. A empresa, que não comentou sobre a autenticidade dos dados vazados, atribuiu a brecha a uma falha na ferramenta open source LiteLLM, amplamente utilizada e baixada milhões de vezes ao dia. Durante 40 minutos, essa ferramenta hospedou malware projetado para roubar credenciais de login, que foram usadas em cadeia para acessar sistemas adicionais. As repercussões são graves: a Meta suspendeu indefinidamente seus contratos com a Mercor, conforme fontes revelaram à Wired. Como outras empresas do setor, a Mercor lida com segredos comerciais cruciais de desenvolvedores de modelos de IA, incluindo conjuntos de dados personalizados e processos de treinamento.
CONCLUSÃO: O incidente expõe vulnerabilidades críticas na cadeia de suprimentos de tecnologia de IA, especialmente em ferramentas open source amplamente adotadas. A falha não apenas comprometeu dados sensíveis, mas também abalou a confiança de grandes players como a Meta, destacando a necessidade urgente de reforçar protocolos de segurança em um setor que lida com ativos de alto valor. A resposta da Mercor, focada em investigação e comunicação direta, será testada à medida que as consequências do vazamento se desdobram.
