Ключевые выводы
- AI-рекрутинговый стартап Mercor, оценённый в $10 млрд, подтвердил инцидент безопасности, связанный с компрометацией популярной open-source библиотеки LiteLLM.
- Атака была частью кампании хакерской группы TeamPCP; данные с Mercor позднее опубликовала эксторшен-группа Lapsus$, но точный способ их получения пока неясен.
- Уязвимость возникла из-за вредоносного кода в одном из пакетов LiteLLM, который ежедневно скачивается миллионы раз, что создаёт системный риск для тысяч проектов.
- Mercor оперативно отреагировал, подключив сторонних forensic-экспертов, но отказался комментировать, были ли повреждены данные клиентов или подрядчиков.
- Инцидент заставил LiteLLM сменить провайдера compliance-сертификации (с Delve на Vanta), что подчёркивает растущую важность безопасности цепочки поставок ПО в экосистеме ИИ.
Представьте: ваш стартап ценностью в десять миллиардов долларов, работающий с OpenAI и Anthropic, внезапно оказывается в списке жертв нецелевого удара. Атака пришла не напрямую на ваши сервера, а через библиотеку, которую ваши инженеры взяли из открытого репозитория, как тысячи других разработчиков по всему миру. Это и есть современная supply-chain атака — ударить по слабому звену в цепочке, чтобы поразить сильного игрока. Так именно это и произошло с Mercor.
Как всё началось: от вредоносного пакета в LiteLLM к миллиардному стартапу
В конце марта 2026 года сообщество разработчиков, работающих с искусственным интеллектом, было потрясено новостью: в популярном open-source проекте LiteLLM, который служит шлюзом для вызова моделей вроде GPT, был обнаружен вредоносный код. Злоумышленники добавили его в один из служебных пакетов проекта. Хотя команда LiteLLM оперативно удалила код, ущерб был нанесён.
Проблема в том, что LiteLLM — не какой-нибудь нишевый инструмент. По данным компании Snyk, эта библиотека скачивается миллионы раз в день. Это стандартный строительный блок для сотен, если не тысяч, AI-приложений и сервисов. Любая компания, интегрировавшая LiteLLM в свои продукты, автоматически попала в зону риска.
И одной из таких компаний стал Mercor. Основанный в 2023 году, этот стартап специализируется на обучении ИИ-моделей, нанимая узких экспертов — учёных, врачей, юристов — через свою платформу. Mercor обрабатывает более $2 миллионов ежедневных выплат контракторам и после раунда Series C в октябре 2025 года оценивался в $10 миллиардов, работая с такими гигантами, как OpenAI и Anthropic.
Так Mercor оказался «одной из тысяч компаний», напрямую затронутых компрометацией LiteLLM, как позже подтвердила пресс-список стартапа Heidi Hagberg.
Кто стоит за атакой: TeamPCP и Lapsus$
Изначально взлом LiteLLM был связан с хакерской группировкой, известной как TeamPCP. Их методы, как правило, включают использование финансовых или политических мотивов, но подробности этой конкретной кампании пока тщательно не изучались.
Однако история приняла новый оборот, когда группа Lapsus$ заявила, что это именно они получили доступ к данным Mercor. Lapsus$ — известная эксторшен-группа, которая в прошлом атаковала такие компании, как Uber, NVIDIA и Rockstar Games, используя комбинацию социальной инженерии, уязвимостей в инфраструктуре и, что важно, краж данных для шантажа.
Вот здесь возникает главный вопрос: как Lapsus$ получили данные, украденные в результате атаки на LiteLLM? Пока нет ясности, связывали ли злоумышленники TeamPCP и Lapsus$ напрямую, или Lapsus$ просто подобрала «пожнивы» после первоначальной атаки. Это классический пример сложной, многоходовой операции в мире киберпреступности, где границы между разными группировками часто размыты.
Lapsus$ подтвердили свою причастность, опубликовав на своём leak-сайте образцы данных. Среди них, по информации TechCrunch, были: материал, связанный с Slack-перепиской, данные тикет-системы, а также два видео, якобы демонстрирующие взаимодействие AI-систем Mercor с контракторами на платформе.
Supply-Chain Attack: удар по слабому звену
Этот инцидент — хрестоматийный пример supply-chain атаки. Вместо того чтобы пытаться взломать защищённую инфраструктуру крупной компании вроде Mercor, злоумышленники атаковали её зависимость — библиотеку LiteLLM.
Модель такая: вы создаёте продукт, используя сотни, а то и тысячи сторонних компонентов: фреймворки, библиотеки, пакеты. Вы доверяете их разработчикам, автоматически обновляете их. Но что, если в одном из этих компонентов恶意ный код? Он попадает в ваше приложение тихими шагами, может months работать, собирая данные или создавая бэкдоры.
Опасность именно в масштабе. Один скомпрометированный пакет в LiteLLM потенциально затронул всё apps, которые его используют. Mercor — просто самый громкий пример из-за своего размера и денежной оценки. Но тысячи других компаний, от мелких стартапов до крупных корпораций, также использовали эту библиотеку в своих ИИ-продуктах. Многие до сих пор не знают, затронуты ли они.
Реакция Mercor: сдержанность и расследование
Пресс-секретарь Mercor Heidi Hagberg подтвердила, что компания «оперативно приняла меры» для локализации и устранения инцидента. Было начато «тщательное расследование при поддержке ведущих сторонних судебно-медицинских экспертов».
Однако на конкретные вопросы о связи с заявлениями Lapsus$, о том, были ли доступны, эксфильтрированы или использованы данные клиентов или подрядчиков, Hagberg не ответила. Компания заявила, что будет продолжать общаться с заказчиками и исполнителями по мере необходимости и выделит все необходимые ресурсы для решения проблемы.
Эта сдержанность понятна. На этапе расследования любые публичные детали могут повредить как следственной работе, так и репутации. Но отсутствие ясности для клиентов и партнёров Mercor — тоже проблема. Сторонние эксперты отмечают, что в таких случаях компании должны следовать принципу максимальной прозрачности, чтобы сохранить доверие, но баланс очень хрупкий.
Последствия для экосистемы LiteLLM и уроки для всех
Инцидент вынудил LiteLLM провести внутренние изменения. Прежде всего, проект сменил провайдера для получения compliance-сертификаций. Ранее он работал с Delve — стартапом, который сам оказался в центре нескольких споров из-за своих методов бизнеса. После скандала LiteLLM перешёл к Vanta, известному более традиционным подходом к аудиту и соблюдению требований.
Это важный сигнал: даже проекты с открытым исходным кодом, казавшиеся «безопасными» именно из-за своей прозрачности, теперь вынуждены ужесточать процессы контроля за зависимостями и соответствия стандартам.
Главный вывод для всего ИИ-индустрии: ни одна компания, какой бы большой или технологичной она ни была, не застрахована от рисков цепочки поставок ПО. Каждая используемая библиотека, каждый пакет — это потенциальная дверь для злоумышленников. Аудиторство зависимостей (SBOM — Software Bill of Materials), мониторинг аномалий в них и plans на случай компрометации становятся не опцией, а необходимостью.
Справка
Mercor: Стартап в области AI и рекрутинга, основанный в 2023 году. Его платформа позволяет компаниям нанимать экспертов (учёные, врачи, инженеры) для обучения и дообучения ИИ-моделей. Имеет контракты с OpenAI и Anthropic. Обрабатывает платежи на сумму свыше $2 млн ежедневно. После раунда Series C на $350 млн в октябре 2025 года оценка достигла $10 млрд. Ключевая особенность бизнеса — глобальная сеть контракторов, особенно в странах вроде Индии. Инцидент с LiteLLM — первый публично известный серьёзный проблем с безопасностью.
LiteLLM: Open-source библиотека (проект с открытым исходным кодем), которая предоставляет единый интерфейс для вызова десятков AI-моделей и сервисов (OpenAI, Anthropic, Together и др.). Крайне популярна в разработке AI-приложений из-за простоты интеграции. По данным Snyk, имеет миллионы ежедневных скачиваний. После обнаружения в ней вредоносного кода project быстро отреагировал, но масштаб использования сделал инцидент критическим. В результате сменил compliance-партнёра с Delve на Vanta.
TeamPCP: Хакерская группировка, названная ответственной за первоначальную компрометацию кода в LiteLLM. О группе известно мало, но её название часто связывают с операциями, имеющими финансовые или политические цели. Её методы могут включать внедрение в процессы разработки ПО или компрометацию учётных записей разработчиков.
Lapsus$: Известная эксторшен-группа, специализирующаяся на краже данных с последующим шантажом компаний. В прошлом атаковала такие гиганты, как Uber, NVIDIA, Samsung, Rockstar Games. Часто использует социальную инженерию (фишинг, обман сотрудников) для получения первоначального доступа. Имеет международный характер, подозревается, что состоит в основном из несовершеннолетних из Великобритании и Бразилии. Их метод — «триггер» утечки данных, если компания не платит выкуп.
Supply-Chain Attack (атака на цепочку поставок ПО): Тип кибератаки, при которой злоумышленник компрометирует не целевую организацию напрямую, а сторонний компонент (библиотеку, фреймворк, сервис), которым эта организация пользуется. Успешная атака на популярный open-source проект даёт потенциальный доступ ко всем его пользователям. Является одной из самых опасных и сложных для обнаружения угроз в современной разработке ПО.
Что показал этот случай? Даже самый быстрый отклик и крупные бюджеты на безопасность не гарантируют полной защиты, если ваша безопасность зависит от тысяч строк кода, написанных кем-то в другом конце света. Для Mercor это был удар по репутации в первую очередь. Клиенты, работающие с конфиденциальными данными врачей или учёных, теперь будут задавать жёсткие вопросы о цепочках поставок. Для индустрии ИИ — это звонок. Пора перестать считать open-source компоненты «нейтральными» и начать их аудировать так же, как и собственный код. Следующий раз цель уязвимости в библиотеке может быть не рекрутинговым стартапом, а, например, системой управления медоборудованием или финансовыми процессами. И тогда последствия будут не в亿美元, а в человеческих жизнях.
