Стартап Mercor атакован через уязвимость в open-source проекте LiteLLM

AI-рекрутинговый стартап Mercor подтвердил факт кибератаки и утечки данных после того, как хакерская группа, специализирующаяся на вымогательстве, взяла на себя ответственность за проникновение в системы компании. Особую тревогу вызывает вектор атаки: злоумышленники воспользовались компрометацией популярного open-source проекта LiteLLM — инструментом, на который опирается значительная часть современной AI-инфраструктуры. LiteLLM — широко используемая библиотека с открытым исходным кодом, которая играет роль универсального прокси-шлюза для работы с языковыми моделями разных провайдеров: OpenAI, Anthropic, Google, Mistral, Cohere и десятков других.

Инструмент завоевал популярность среди технологических стартапов и корпоративных AI-команд благодаря возможности унифицировать обращения к разным LLM через единый API, управлять ротацией ключей и вести централизованное логирование запросов. Именно эта позиция в инфраструктуре — между приложением и языковыми моделями, с доступом к API-ключам и пользовательским данным — делает LiteLLM особенно привлекательной мишенью для злоумышленников. Компрометация такого компонента выходит далеко за рамки инцидента с одной компанией.

Это атака на цепочку поставок: любой проект, использующий уязвимую версию LiteLLM, потенциально подвергался риску. На момент публикации остаётся неизвестным, сколько других организаций могли пострадать в результате той же компрометации. Mercor — американский AI-стартап, специализирующийся на рекрутинге технических специалистов с применением искусственного интеллекта.

Платформа использует языковые модели для автоматизированной оценки навыков кандидатов, проведения структурированных собеседований и сопоставления специалистов с открытыми позициями в AI-ориентированных компаниях. По природе своей деятельности в системах Mercor хранится информация высокой чувствительности: резюме и профессиональные профили тысяч соискателей, результаты технических оценок, данные о зарплатных ожиданиях, а также сведения о компаниях-нанимателях и их кадровых потребностях. Группа, взявшая на себя ответственность за атаку, действует по давно отработанной модели двойного вымогательства: жертве выдвигается ультиматум — заплатить выкуп или утратить контроль над украденной информацией.

В отличие от классических ransomware-атак, где компания теряет доступ к собственным файлам, эта схема эксплуатирует страх перед регуляторными санкциями и репутационным ущербом. Для платформы, работающей с персональными данными кандидатов, публичная утечка может повлечь расследования со стороны регуляторов и безвозвратную потерю доверия пользователей. Mercor подтвердил факт инцидента, однако масштаб похищенных данных и требования злоумышленников компания пока не раскрывает.

Инцидент обнажает системную проблему современного AI-сектора: зависимость сотен компаний от одного и того же набора open-source инструментов — LiteLLM, LangChain, LlamaIndex, Transformers. Переиспользование общего стека ускоряет разработку, но создаёт концентрированный риск: компрометация одного популярного компонента одновременно затрагивает всю экосистему его пользователей. Атаки на open-source проекты становятся всё более целенаправленными: злоумышленники анализируют граф зависимостей, изучают экосистему пользователей библиотеки и выбирают точку входа с максимальным охватом жертв.

Для компаний, строящих AI-продукты на базе open-source прокси-инструментов с доступом к API-ключам и пользовательским данным, дело Mercor — прямой сигнал: регулярный аудит зависимостей, мониторинг security-обновлений и изоляция привилегированных компонентов инфраструктуры должны стать стандартом, а не пунктом из вечно откладываемого списка.