Mercor 确认开源妥协后数据被盗
人工智能驱动的招聘初创公司 Mercor 已确认其遭受了严重的网络攻击,导致勒索黑客团队窃取数据。据报道,该事件与开源 LiteLLM 项目的更广泛妥协有关,该项目是一个流行的代理服务器,旨在简化与各种大型语言模型 (LLM) 的交互。
在网络犯罪集团声称对此负责后,Mercor 于 2023 年 10 月 23 日公开承认了这一漏洞,突显了人工智能公司日益增加的脆弱性以及开源软件供应链中固有的复杂安全风险。虽然 Mercor 尚未披露被盗数据的全部范围或性质,但敲诈勒索组织的参与通常意味着敏感信息的泄露是为了勒索赎金。
LiteLLM 连接:供应链漏洞
与 LiteLLM 的链接尤其引起更广泛的 AI 开发社区的关注。 LiteLLM 充当中介,允许开发人员使用统一的 API 访问来自 OpenAI、Anthropic 和 Google 等提供商的 LLM。它的妥协为攻击者渗透任何依赖它来管理人工智能交互的组织的系统提供了潜在的途径。
包括 Synapse Labs 的 Anya Sharma 博士在内的安全研究人员长期以来一直警告与开源依赖项相关的“供应链”风险。 “当像 LiteLLM 这样的基础组件受到损害时,就会产生连锁反应,”Sharma 博士向 DailyWiz 解释道。 “组织为了提高效率而集成这些工具,通常没有充分审查其安全状况。一个漏洞可能会暴露成千上万的下游用户。”
LiteLLM 泄露的具体性质仍在调查中,但专家表示,其范围可能包括从广泛使用的版本中注入恶意代码到允许未经授权访问通过代理的用户数据的凭证盗窃。
对 Mercor 及其用户的影响
对于 Mercor(一个 AI 平台)旨在通过将候选人与公司进行匹配来简化招聘,潜在的风险数据是巨大的。这可能包括求职者的个人身份信息 (PII),例如姓名、联系方式、简历、工作经历,甚至可能包括评估结果或面试记录。使用 Mercor 服务的公司也可能会发现其专有的招聘数据或内部通信受到损害。
Mercor 表示正在与网络安全专家合作调查该事件并保护其系统。 Mercor 发言人在一份简短声明中表示:“我们非常严肃地对待此事,并致力于向用户提供透明度。”并承诺随着调查的进展,将提供进一步的更新。该公司尚未确认是否已与敲诈勒索者进行接触,或正在采取哪些措施来减轻损失。
对人工智能初创企业和数据安全的更广泛威胁
这一事件凸显了一种日益增长的趋势:通常优先考虑快速创新和部署的人工智能初创企业正在成为网络犯罪分子的主要目标。他们对大量数据的访问——从用户交互到专有算法——使他们成为利润丰厚的目标。对开源工具的依赖在加速开发的同时,如果不采用严格的安全协议进行管理,也会带来潜在的漏洞。
人工智能技术的发展速度往往超过了强大安全框架的开发和实施速度。这创造了一种环境,在这种环境中,复杂的攻击,无论是通过直接违规还是供应链妥协,都可能产生重大而深远的后果。
日常用户和企业的实用步骤
对于其数据可能由人工智能招聘平台或依赖开源组件的其他服务管理的个人,保持警惕是关键:
- 监控帐户:定期检查您的财务报表和信用报告是否有任何可疑行为活动。考虑使用信用监控服务。
- 强而独特的密码:确保您为所有在线帐户(尤其是与工作申请或个人数据相关的帐户)使用强而独特的密码。尽可能启用双因素身份验证 (2FA)。
- 对网络钓鱼持怀疑态度:警惕未经请求的电子邮件或消息,尤其是那些声称来自 Mercor 或您使用的其他服务、要求提供个人信息或将您引导至可疑链接的电子邮件或消息。
- 查看隐私政策:了解您使用的服务如何处理和保护您的数据。
对于集成人工智能的企业对于工具,特别是那些基于开源基础的工具,Mercor 事件是一个鲜明的提醒:
- 尽职调查:彻底审查所有第三方供应商和开源项目的安全实践。
- 定期审核:对您的系统(包括集成外部 AI 服务的系统)进行频繁的安全审核和渗透测试。
- 数据最小化:仅收集和存储绝对必要的数据。您拥有的数据越少,泄露的风险就越小。
- 事件响应计划:针对数据泄露制定明确且经过测试的事件响应计划。
Mercor 漏洞与广泛使用的开源人工智能组件相关,对整个人工智能生态系统来说是一个重要的警钟,要求我们在日益人工智能驱动的世界中优先考虑安全和创新,从而维护用户的信任和数据的完整性。
