6か月前、Mercorは大型の3億5000万ドル規模のシリーズCを調達したことで、AIデータ訓練スタートアップの企業価値が100億ドルと評価され、勢いに乗っていました。ところが同社は、3月31日に、自社がデータ侵害の標的になっていたと認めたことで、事態は深刻なトラブル続きになっています。
それ以来、ハッカー集団が、候補者プロフィール、個人を特定できる情報(PII)、雇用主データ、ソースコード、APIキーなどを含む、Mercorのシステムから流出したとされる4TBの盗難データを入手したと主張しています。Mercorはデータの真偽についてはコメントしていませんが、捜査していることを繰り返し、「必要に応じて顧客や委託先(コントラクター)と直接コミュニケーションを継続し、この件をできるだけ早く解決するために必要なリソースを投入する」とだけ述べています。
Mercorは、自社のデータ侵害がオープンソースのツール「LiteLLM」がハックされた結果だと説明しました。このツールは非常に人気があり、1日に何百万回もダウンロードされています。40分間、同ツールには資格情報(クレデンシャル)を奪い取るマルウェアが潜んでいました。これは、不正なソフトウェアで、ログイン資格情報を盗み取る可能性がありました。これらの資格情報は、ほかのソフトウェアやアカウントへのアクセスを得るために使われ、その後さらに資格情報を奪い取るために利用され、という具合に連鎖したのです。
Mercorからどれほどのデータが持ち出されたのかについて正式な確認はないものの、影響は同様に出ています。Metaは、データ侵害によってAI業界の秘密が危険にさらされたことを受け、Mercorとの契約を無期限で停止したとWiredに情報筋が語っています。 (Mercorは、この件についてTechCrunchへのコメントを拒否しました。)
ほかの委託契約型のAIデータ訓練企業と同様、Mercorはモデルメーカーの最大級の取引上の秘密の一部を扱っています。具体的には、モデルを教えるために使うカスタムデータセットやプロセスです。これが彼らにとって重要すぎるため、MetaがMercorの競合であるScale AIに143億ドルを投じたあとも、それでもMercorとの作業は継続されました。
Mercorにとっては朗報もあります(たぶん……様子を見ましょう)。OpenAIもWiredに対し、Mercorの侵害で自社がどれだけ露出したかについて調査していると確認したものの、その時点では契約を停止または終了していないと述べました。とはいえTechCrunchは、侵害を受けてほかの大手モデルメーカーもMercorとの関係を見直している可能性があると複数の情報源から聞いていますが、現時点では名前を挙げられるだけの十分な詳細を確認できていません。
その間に、Mercorの委託先(コントラクター)のうち5社が訴訟を起こし、Business Insiderが報じています。訴訟では、主張として個人データがさらされたことをめぐっています。これらの訴訟が深刻な脅威を意味するのか、それとも日和見的で厄介なだけなのかは、まだ分かりません。(Mercorはコメントを拒否しました。)
今週だけ:Disrupt 2026で最大500ドルお得に
オファーは4月10日23:59(PT)まで
次のラウンドへ。次の採用へ。次のブレイクのチャンスへ。TechCrunch Disrupt 2026で見つけてください。そこには、3日間にわたり250回以上の戦術セッション、力強い紹介、そして市場を切り開く革新が用意され、10,000人以上の創業者、投資家、テックリーダーが集います。今すぐ登録して、この節約を確保しましょう。
今週だけ:Disrupt 2026で最大500ドルお得に
オファーは4月10日23:59(PT)まで
次のラウンドへ。次の採用へ。次のブレイクのチャンスへ。TechCrunch Disrupt 2026で見つけてください。そこには、3日間にわたり250回以上の戦術セッション、力強い紹介、そして市場を切り開く革新が用意され、10,000人以上の創業者、投資家、テックリーダーが集います。今すぐ登録して、この節約を確保しましょう。
TechCrunchが確認した1件の訴訟では、原告の中でさえLiteLLMとDelveを被告として名指ししています。これはかなり突飛で、もしかすると飛躍があるかもしれませんが、つながりはこうです。LiteLLMは、セキュリティ認証を取得するために、AIコンプライアンス・スタートアップのDelveを利用しました。Delveは匿名の内部告発者から、セキュリティ認証のためにデータを捏造した疑いと、審査を形式的に押印するだけの監査人を使った疑いがあるとして告発されています。
セキュリティ認証は、ハッカーが攻撃を成功させることを直接は防げません。しかし、そのような脅威を最小化するためのプロセスが企業に備わっていることを担保することを目的としています。
Delveは、そうした告発を否定しつつ同時に運用上の変更も実施してきましたが、それでも自社は自社なりに苦境にあったようで、Yコンビネーターが同社との関係を断ち切ったところまで追い詰められています。
LiteLLMはDelveを見限り、現在は別のAIコンプライアンス・スタートアップと連携して、セキュリティ認証を再取得しようとしている。LiteLLMはまた、セキュリティ・インシデントについての完全なレポートを公開した。
しかし、Mercor自体はDelveの顧客ではなかったと、同社はTechCrunchに確認した。だが、もしMercorへの影響が続くなら、多額の収益が危機にさらされる可能性がある。同社は、データ流出が起きる前の今年初めには、年換算で10億ドル超を達成するペースだったと報じられており、匿名の情報源がThe Informationに語った。
