Sei mesi fa, Mercor stava volando alto dopo aver raccolto una massiccia somma di 350 milioni di dollari di serie C che ha valutato la startup di formazione sui dati sull’intelligenza artificiale a ten miliardi di dollari. Ma dopo aver ammesso il 31 marzo di essere stata oggetto di una violazione dei dati, l’azienda si è trovata advert affrontare un mondo di problemi.
Da allora, un gruppo di hacker ha affermato di aver ottenuto 4TB di dati rubati dai sistemi Mercor, inclusi profili dei candidati, informazioni di identificazione personale, dati del datore di lavoro, codice sorgente e chiavi API. Mercor non ha commentato l’autenticità dei dati, ribadendo solo che sta indagando e “continuerà a comunicare direttamente con i nostri clienti e appaltatori in modo appropriato e dedicherà le risorse necessarie per risolvere la questione il prima possibile”.
Mercor ha affermato che la violazione dei dati è stata il risultato di un attacco allo strumento open supply LiteLLM. Questo strumento è così popolare che viene scaricato milioni di volte al giorno. Per 40 minuti, lo strumento ha ospitato malware per la raccolta di credenziali, ovvero software program canaglia in grado di rubare le credenziali di accesso. Tali credenziali sono state utilizzate per ottenere l’accesso a più software program e account, che sono stati utilizzati per raccogliere più credenziali e così through.
Anche se non ci sono stati riconoscimenti formali sulla quantità di dati raccolti dal Mercor, ci sono state comunque delle ripercussioni. Meta ha sospeso i contratti con Mercor a tempo indeterminato, fonti hanno detto a Wired. (Mercor ha rifiutato di commentare TechCrunch a riguardo.)
Come altre società di formazione sui dati IA a contratto, Mercor gestisce alcuni dei più grandi segreti commerciali dei modellisti: i set di dati personalizzati e i processi che utilizzano per insegnare i loro modelli. Questo è così importante per loro che anche dopo aver speso 14,3 miliardi di dollari per Scale AI, concorrente di Mercor, Meta ha continuato a lavorare con Mercor.
Una buona notizia per Mercor (forse… vedremo): OpenAI ha anche confermato a Wired che stava indagando sulla sua esposizione alla violazione di Mercor, ma ha affermato di non aver sospeso o terminato i suoi contratti in quel momento. Tuttavia, TechCrunch ha sentito da più fonti che anche altri grandi produttori di modelli potrebbero valutare i loro rapporti con Mercor dopo la violazione, sebbene non abbiamo ancora confermato dettagli sufficienti per fare nomi.
Nel frattempo, cinque appaltatori di Mercor hanno intentato causa, Rapporti di Business Insiderin merito alla loro presunta esposizione di dati personali. Resta da vedere se queste trigger rappresentino una seria minaccia o siano semplicemente opportunistiche e fastidiose. (Mercor ha rifiutato di commentare.)
Evento Techcrunch
San Francisco, California
|
13-15 ottobre 2026
Una causa, esaminata da TechCrunch, ha addirittura nominato LiteLLM e Delve come imputati. Questo è assurdo, e forse esagerato, ma ecco il collegamento: LiteLLM ha utilizzato la startup di conformità AI Delve per ottenere le sue certificazioni di sicurezza. Delve è stato accusato da un informatore anonimo di presunta falsificazione di dati per certificazioni di sicurezza e di utilizzo di revisori con timbro di gomma.
Una certificazione di sicurezza non impedisce direttamente agli hacker di lanciare attacchi riusciti, ma ha lo scopo di garantire che le aziende dispongano di processi per ridurre al minimo tali minacce.
Sebbene Delve abbia negato tali accuse e allo stesso tempo abbia introdotto cambiamenti operativi, è stato un mondo di dolore tutto suo, al punto che Y Combinator ha reciso i legami con l’azienda.
LiteLLM ha abbandonato Delve e ora sta lavorando con un’altra startup di conformità AI per ottenere nuovamente le sue certificazioni di sicurezza. Pubblicato anche LiteLLM un rapporto completo sull’incidente di sicurezza.
Ma la stessa Mercor non period un cliente Delve, ha confermato la società a TechCrunch. Se, tuttavia, le conseguenze per Mercor continuassero, potrebbero essere in gioco molte entrate. Secondo quanto riferito, la società period sulla buona strada per raggiungere oltre 1 miliardo di dollari di entrate annualizzate all’inizio di quest’anno prima della fuga di dati ha detto una fonte anonima a The Information.
