幫OpenAI和Anthropic訓(xùn)練AI的公司被黑，4TB數(shù)據(jù)正在暗網(wǎng)上被拍賣

Anthropic 的 Claude Code 源代碼泄漏事件余波未平，另一場事故又接踵而至了。

但 Claude Code 事故純屬自己人手滑，雖然尷尬，好歹沒有外部攻擊者介入。而這次的主角 Mercor 就沒這么幸運(yùn)了，它遭遇了一場由黑客組織精心策劃的多層供應(yīng)鏈攻擊。攻擊者沿著軟件依賴關(guān)系的信任鏈條一路向下，從開源安全工具打到 AI 基礎(chǔ)設(shè)施，再打進(jìn)企業(yè)內(nèi)網(wǎng)，最終把這家估值 100 億美元、為 OpenAI 和 Anthropic 等頭部實(shí)驗(yàn)室提供數(shù)據(jù)標(biāo)注服務(wù)的獨(dú)角獸翻了個(gè)底朝天。

4 月 1 日，Mercor 在社交媒體發(fā)布聲明，確認(rèn)自己是 LiteLLM 供應(yīng)鏈攻擊事件中“數(shù)千家受影響企業(yè)之一”，表示安全團(tuán)隊(duì)已迅速介入遏制和修復(fù)，并聘請了第三方取證專家展開調(diào)查。

圖丨相關(guān)推文（來源：X）

但 Lapsus$ 這邊已經(jīng)開始叫賣了。這個(gè)臭名昭著的黑客組織在暗網(wǎng)泄密站點(diǎn)上聲稱對此次攻擊負(fù)責(zé)，掛出了一場“實(shí)時(shí)拍賣”：4TB 數(shù)據(jù)，價(jià)高者得。

據(jù) Cybernews 和 TechCrunch 等媒體的梳理，Lapsus$ 聲稱通過 Mercor 的 Tailscale VPN 竊取了全部數(shù)據(jù)，其中包括 939GB 的平臺源代碼、一個(gè)超過 211GB 的用戶數(shù)據(jù)庫，以及約 3TB 的存儲桶內(nèi)容，里面裝著大量視頻面試錄像和身份驗(yàn)證材料，包括承包商的護(hù)照掃描件和證件照。

TechCrunch 審查了 Lapsus$ 公開的部分樣本，發(fā)現(xiàn)其中包含 Slack 通訊記錄、工單系統(tǒng)數(shù)據(jù)，以及兩段據(jù)稱展示 Mercor AI 系統(tǒng)與承包商對話的視頻。

圖丨被拍賣的數(shù)據(jù)（來源：X）

Mercor 發(fā)言人 Heidi Hagberg 拒絕回答后續(xù)問題，包括此事是否與 Lapsus$ 的聲明有關(guān)，以及客戶或承包商數(shù)據(jù)是否已被訪問、外泄或?yàn)E用。社交媒體上流傳的更多泄漏樣本還出現(xiàn)了疑似 Mercor 客戶的內(nèi)部代號：Amazon、Athena、Aphrodite、Meta、Apple。其中 Athena 和 Aphrodite 被認(rèn)為是某些客戶的項(xiàng)目代號。如果屬實(shí)，泄漏范圍可能遠(yuǎn)不止 Mercor 自身。

從目前的公開信息來看，Mercor 并不是被 Lapsus $ 直接入侵的，這起事件的源頭要追溯到一場規(guī)模大得多的級聯(lián)式供應(yīng)鏈攻擊。

3 月 19 日，開源漏洞掃描工具 Trivy（由 Aqua Security 維護(hù)）的 CI/CD 流水線被一個(gè)名為 TeamPCP 的黑客組織攻破。攻擊者利用此前一次安全事件中未完全輪換的憑證，劫持了 Trivy GitHub Actions 中 76 個(gè)版本標(biāo)簽，把受信任的版本引用悄悄指向了惡意提交。

植入的 payload 是一個(gè)信息竊取器，能從構(gòu)建環(huán)境中收割環(huán)境變量、云憑證、SSH 密鑰等敏感信息，加密后外傳到攻擊者控制的服務(wù)器。由于正常的 Trivy 掃描仍然會在惡意代碼執(zhí)行后照常運(yùn)行，很多用戶看到的是正常輸出，根本察覺不到憑證已經(jīng)被偷走了。

3 月 23 日，TeamPCP 用同樣的手法攻破了 Checkmarx 的 KICS 代碼掃描工具。3 月 24 日，攻擊蔓延到 LiteLLM，這是一個(gè)極其流行的開源 LLM API 代理庫，為開發(fā)者提供統(tǒng)一接口來調(diào)用 OpenAI、Anthropic、Bedrock 等 100 多個(gè)大模型服務(wù)。

TeamPCP 利用從 Trivy 攻擊中竊取的 CI/CD 憑證，直接在 PyPI 上發(fā)布了被投毒的 LiteLLM 1.82.7 和 1.82.8 版本。惡意包上線約 40 分鐘后被 PyPI 安全團(tuán)隊(duì)隔離，但這 40 分鐘已經(jīng)足夠。

LiteLLM 每月有近 1 億次下載量。任何在那個(gè)窗口期通過 pip 安裝或更新了 LiteLLM 且未鎖定版本的項(xiàng)目，都可能中招。ReversingLabs 的分析指出，LiteLLM 作為 AI 基礎(chǔ)設(shè)施的通用代理層，天然集中管理著大量 API 密鑰和云憑證，一旦被攻破就成了理想的感染中樞。

Wiz 的安全研究人員表示，他們觀察到被竊憑證“被迅速驗(yàn)證并用于探索受害者環(huán)境、外泄更多數(shù)據(jù)”。而在協(xié)作層面，事情還在升級：據(jù) Palo Alto Networks 旗下 Unit 42 的分析，TeamPCP 目前正與 Lapsus $ 以及勒索軟件團(tuán)伙 CipherForce、Vect 合作，共同泄漏數(shù)據(jù)并實(shí)施敲詐。TeamPCP 甚至聲稱將向數(shù)十萬用戶發(fā)送邀請，讓盡可能多的人加入對受害企業(yè)的勒索行列。

Mercor 是第一家公開確認(rèn)受此輪攻擊影響的下游企業(yè)，但幾乎可以確定不會是最后一家。在上周的 RSA 大會上，Google 旗下 Mandiant 的咨詢 CTO Charles Carmakal 對記者表示，Mandiant 已知超過 1,000 個(gè) SaaS 環(huán)境正在“積極應(yīng)對”TeamPCP 供應(yīng)鏈攻擊的連鎖影響。

他說這 1,000 多個(gè)下游受害者的數(shù)字，可能還會再擴(kuò)大 500、1,000，甚至 10,000，“我們知道這些攻擊者正在與其他多個(gè)團(tuán)伙合作。”威脅情報(bào)組織 vx-underground 的估計(jì)數(shù)據(jù)竊賊已經(jīng)從約 50 萬臺機(jī)器上外泄了數(shù)據(jù)和密鑰。

Cisco 也沒能置身事外。有報(bào)道稱 TeamPCP 通過 Trivy 攻擊中竊取的憑證入侵了 Cisco 的內(nèi)部開發(fā)環(huán)境并竊取了源代碼，Cisco 隨后對 The Register 表示已“意識到正在影響整個(gè)行業(yè)的 Trivy 供應(yīng)鏈問題”，并“迅速啟動了評估”。但 Cisco 兩次拒絕回答一個(gè)直接問題：是否有任何 Cisco 系統(tǒng)被攻擊者訪問過？

回看整個(gè)攻擊鏈，DreamFactory CTO Kevin McGahey 概括稱：TeamPCP 執(zhí)行的是一場“從安全工具到 AI 基礎(chǔ)設(shè)施的系統(tǒng)性升級攻擊”。先攻陷安全掃描器，這類工具在 CI/CD 流水線中以高權(quán)限運(yùn)行，組織對其有著隱性的充分信任；收割憑證；再用這些憑證去投毒下游的 AI 基礎(chǔ)設(shè)施。Trivy 是安全工具，LiteLLM 是 AI 代理層，Mercor 是終端企業(yè)，攻擊者沿著依賴關(guān)系的信任鏈條逐層突破，每一步都在利用上一步拿到的憑證。

對 Mercor 來說，泄漏的后果可能相當(dāng)持久。超過 3 萬名承包商的身份驗(yàn)證資料可能已經(jīng)暴露，視頻面試中錄制的面部表情、聲音和行為信號是沒法像密碼一樣重置的生物特征數(shù)據(jù)。已經(jīng)有律所宣布正在調(diào)查針對 Mercor 的集體訴訟。

而對于那些同樣依賴 LiteLLM 的企業(yè)來說，緊急安全審計(jì)恐怕才剛剛開始。攻擊窗口雖然只有 40 分鐘，但通過傳遞性依賴擴(kuò)散出去的感染面到底有多大，目前仍然未知。

參考資料：

1.https://www.theregister.com/2026/04/02/mercor_supply_chain_attack/

2.https://x.com/AlvieriD/status/2038779690295378004

運(yùn)營/排版：何晨龍