Mercorは、人気のAI採用スタートアップで、オープンソースプロジェクトのLiteLLMが関与するサプライチェーン攻撃に関連したセキュリティインシデントを確認したと発表しました。
AIスタートアップは火曜日、TechCrunchに対し、「LiteLLMのプロジェクトが最近侵害され、影響を受けたのは『何千もの企業のうちの1つ』だった」と伝えました。この侵害は、TeamPCPと呼ばれるハッキング集団に関連していました。今回のインシデント確認は、恐喝型のハッキング集団Lapsus$が、Mercorを標的にし、そのデータへのアクセスを得たと主張していることを受けてのものです。
TeamPCPのサイバー攻撃の一環として、Lapsus$の犯行グループがどのようにしてMercorから盗まれたデータを入手したのかは、現時点ではすぐには明らかになっていません。
2023年に設立されたMercorは、OpenAIやAnthropicを含む企業と連携し、インドなどの市場から、科学者、医師、弁護士といった専門領域のエキスパートに業務委託することでAIモデルを訓練しています。同社は、日々の支払いとして2,000万ドル超を仲介しており、2025年10月にFelicis Venturesが主導した3億5,000万ドルのシリーズCラウンドの後、評価額が100億ドルになったとしています。
Mercorの広報担当者Heidi Hagbergは、TechCrunchに対し、同社が「セキュリティインシデントの封じ込めと復旧に向けて迅速に行動した」ことを確認しました。
「私たちは、主要な第三者フォレンジックの専門家の支援を受けて徹底的な調査を行っています」とHagbergは述べました。「必要に応じて、顧客や委託先と直接コミュニケーションを継続し、できるだけ早くこの件の解決に必要なリソースを投入します。」
これに先立ち、Lapsus$は自らのリークサイトで、見られるところのデータ侵害について責任を負うと主張し、TechCrunchが確認したところによると、Mercorから持ち出されたとされるデータのサンプルを共有していました。そのサンプルには、Slackのデータへの言及や、チケット管理のデータと思われるものが含まれており、さらに、同社のプラットフォーム上でMercorのAIシステムと委託先の間で交わされた会話を示しているとされる2本の動画も含まれていました。
Disrupt 2026:テックエコシステムを1つの部屋に
次のラウンド。次の採用。次の飛躍の機会。 TechCrunch Disrupt 2026で見つけましょう。10,000人以上の創業者、投資家、テックリーダーが3日間にわたり、250回以上の戦術的セッション、強力な出会い、市場を形作る革新のために集結します。今すぐ登録して最大400ドル分お得に。
TechCrunch Founder Summitで最大300ドルまたは30%オフ
1,000人以上の創業者と投資家が、TechCrunch Founder Summit 2026に集まり、成長、実行、現実のスケールに焦点を当てた終日プログラムを行います。業界を形作ってきた創業者や投資家から学びましょう。同様の成長段階を歩む仲間とつながりましょう。すぐに適用できる戦術を持ち帰れます
オファーは3月13日で終了です。
Hagbergは、今回のインシデントがLapsus$による主張と関連しているのかどうか、また顧客や委託先のデータにアクセスされたのか、持ち出されたのか、あるいは悪用されたのかについての追加質問には答えませんでした。
LiteLLMの侵害については先週、最初に問題が表面化しました。同社のオープンソースプロジェクトに関連するパッケージから、Yコンビネーターの支援を受けたスタートアップのものだとされる悪意のあるコードが見つかったためです。悪意のあるコードは数時間以内に特定され、削除されたものの、LiteLLMがインターネット上で広く使われていることが注目点となり、セキュリティ企業Snykによれば、このライブラリは1日あたり数百万回ダウンロードされていました。このインシデントを受けてLiteLLMは、コンプライアンスプロセスの変更も行い、論争の的になっていたスタートアップのDelveから、コンプライアンス認証のためにVantaへ移行しました。
LiteLLM関連のインシデントで、どれだけの企業が影響を受けたのか、またデータがどの程度公開(漏えい)されたのかについては、調査が続いているため、依然として不明です。
