AI招聘公司Mercor遭供应链攻击，LiteLLM漏洞牵出Lapsus$勒索团伙

AI招聘初创公司Mercor证实遭遇安全事件，源头指向开源LLM代理项目LiteLLM的供应链攻击。该事件由黑客组织TeamPCP发起，而勒索团伙Lapsus$随后宣称入侵Mercor并获取数据，在其泄露网站发布样本——包括Slack通信片段、工单系统数据，以及两段疑似Mercor平台AI与签约专家（如医生、律师）交互的视频。

Mercor发言人Heidi Hagberg表示已“迅速响应”，正联合第三方数字取证专家展开全面调查，但拒绝对Lapsus$声明的真实性、客户或承包商数据是否遭窃取/滥用等细节置评。

LiteLLM漏洞于上周曝光：其NPM包被植入恶意代码，虽数小时内移除，但因日均下载量达数百万次（Snyk数据），影响范围极广。事件促使LiteLLM更换合规审计服务商，从Delve转为Vanta。目前尚无官方披露受影响企业数量及实际数据泄露情况。