Mercor подтверждает кражу данных после компрометации открытого исходного кода
Стартап по подбору персонала на базе искусственного интеллекта Mercor подтвердил, что подвергся серьезной кибератаке, которая привела к краже данных группой хакеров-вымогателей. Сообщается, что инцидент связан с более широкой компрометацией проекта LiteLLM с открытым исходным кодом, популярного прокси-сервера, предназначенного для упрощения взаимодействия с различными большими языковыми моделями (LLM).
Нарушение, которое Mercor публично признала 23 октября 2023 года, после того как синдикат киберпреступников взял на себя ответственность, подчеркивает растущую уязвимость компаний, занимающихся искусственным интеллектом, и сложные риски безопасности, присущие цепочке поставок программного обеспечения с открытым исходным кодом. Хотя компания Mercor еще не раскрыла полный объем и характер украденных данных, участие группы вымогателей обычно подразумевает, что конфиденциальная информация была похищена с целью потребовать выкуп.
Связь с LiteLLM: уязвимость в цепочке поставок
Ссылка на LiteLLM особенно беспокоит более широкое сообщество разработчиков искусственного интеллекта. LiteLLM выступает в качестве посредника, позволяя разработчикам использовать унифицированный API для доступа к LLM от таких поставщиков, как OpenAI, Anthropic и Google. Его взлом предполагает потенциальный путь для злоумышленников проникнуть в системы любой организации, которая полагается на него для управления взаимодействием с искусственным интеллектом.
Исследователи безопасности, в том числе д-р Аня Шарма из Synapse Labs, давно предупреждают о рисках «цепочки поставок», связанных с зависимостями с открытым исходным кодом. «Когда такой основополагающий компонент, как LiteLLM, подвергается риску, это создает волновой эффект», — объяснил доктор Шарма DailyWiz. «Организации интегрируют эти инструменты для повышения эффективности, часто не тщательно изучая уровень своей безопасности. Одна-единственная уязвимость может подвергнуть опасности тысячи последующих пользователей».
Специфический характер компрометации LiteLLM все еще находится в стадии расследования, но эксперты предполагают, что он может варьироваться от внедрения вредоносного кода в широко используемую версию до кражи учетных данных, которая обеспечивает несанкционированный доступ к пользовательским данным, проходящим через прокси.
Последствия для Mercor и ее пользователей
Для Mercor разработана платформа искусственного интеллекта Для оптимизации найма путем сопоставления кандидатов с компаниями потенциальные данные, подвергающиеся риску, значительны. Сюда может входить личная информация (PII) кандидатов на работу, такая как имена, контактные данные, резюме, опыт работы и, возможно, даже результаты оценки или записи собеседований. Компании, использующие услуги Mercor, также могут столкнуться с угрозой компрометации своих собственных данных о найме или внутренних коммуникаций.
Mercor заявила, что работает с экспертами по кибербезопасности для расследования инцидента и обеспечения безопасности своих систем. «Мы очень серьезно относимся к этому вопросу и стремимся к прозрачности с нашими пользователями», — заявил представитель Mercor в кратком заявлении, пообещав дальнейшие обновления по мере продвижения расследования. Компания еще не подтвердила, вступила ли она в контакт с вымогателями и какие шаги она предпринимает, чтобы смягчить ущерб.
Более широкая угроза стартапам в области искусственного интеллекта и безопасности данных
Этот инцидент подчеркивает растущую тенденцию: стартапы в области искусственного интеллекта, часто отдающие приоритет быстрым инновациям и развертыванию, становятся главными целями для киберпреступников. Их доступ к огромным объемам данных — от взаимодействия с пользователем до запатентованных алгоритмов — делает их прибыльной целью. Зависимость от инструментов с открытым исходным кодом, ускоряя разработку, также приводит к потенциальным уязвимостям, если не управлять ими с помощью строгих протоколов безопасности.
Скорость развития технологий искусственного интеллекта часто опережает разработку и внедрение надежных систем безопасности. Это создает среду, в которой сложные атаки, будь то прямые нарушения или компрометация цепочки поставок, могут иметь серьезные и далеко идущие последствия.
Практические шаги для повседневных пользователей и предприятий
Для лиц, чьи данные могут управляться платформами подбора персонала с искусственным интеллектом или другими службами, использующими компоненты с открытым исходным кодом, бдительность является ключевым моментом:
- Отслеживайте счета: Регулярно проверяйте свои финансовые отчеты и кредитные отчеты на предмет любой подозрительной активности. Рассмотрите возможность использования служб кредитного мониторинга.
- Надежные уникальные пароли. Убедитесь, что вы используете надежные и уникальные пароли для всех своих онлайн-аккаунтов, особенно тех, которые связаны с заявлениями о приеме на работу или личными данными. Включите двухфакторную аутентификацию (2FA), где это возможно.
- Скептически относитесь к фишингу: будьте осторожны с нежелательными электронными письмами или сообщениями, особенно к тем, которые утверждают, что они от Mercor или других служб, которые вы используете, запрашивают личную информацию или направляют вас на подозрительные ссылки.
- Изучите политику конфиденциальности: поймите, как используемые вами службы обрабатывают и защищают ваши данные.
Для компаний, интегрирующих инструменты искусственного интеллекта, особенно инцидент с Mercor служит суровым напоминанием:
- Комплексная проверка: тщательно проверяйте всех сторонних поставщиков и проекты с открытым исходным кодом на предмет их методов обеспечения безопасности.
- Регулярные проверки: проводите частые проверки безопасности и тесты на проникновение в ваших системах, в том числе в тех, которые интегрируют внешние службы искусственного интеллекта.
- Минимизация данных: Собирайте и храните только те данные, которые абсолютно необходимо. Чем меньше у вас данных, тем меньше риск взлома.
- План реагирования на инциденты. Разработайте четкий и проверенный план реагирования на инциденты, связанные с утечкой данных.
Нарушение Mercor, связанное с широко используемым компонентом искусственного интеллекта с открытым исходным кодом, является важным тревожным звонком для всей экосистемы искусственного интеллекта, чтобы он стал уделять приоритетное внимание безопасности, а не инновациям, защищая доверие пользователей и целостность данных в мире, в котором все больше внимания уделяется искусственному интеллекту.
