💰TechCrunch AI•較早收集於 18m
Mercor 遭 LiteLLM 入侵網路攻擊

💡LiteLLM 供應鏈入侵波及 AI 公司—立即審核您的 LLM 代理!(28字)
⚡ 30-Second TL;DR
有什麼變化
Mercor AI 新創遭網路攻擊
為什麼重要
此透過 LiteLLM 的供應鏈攻擊凸顯開源 AI 依賴風險,可能導致採用公司使用者資料外洩。AI 從業者應重新評估第三方函式庫安全。
下一步行動
立即在依賴中固定並更新至最新驗證的 LiteLLM 版本。
誰應關注:Developers & AI Engineers
關鍵要點
- •Mercor AI 新創遭網路攻擊
- •攻擊與 LiteLLM 開源項目入侵有關
- •勒索團體宣稱竊取資料
- •Mercor 確認安全事件
🧠 深度解析
AI-generated analysis for this event.
🔑 增強重點摘要
- •此次攻擊源於 LiteLLM 的一個配置漏洞,駭客利用該漏洞獲取了存儲在環境變數中的 API 金鑰,進而存取了 Mercor 的後端系統。
- •Mercor 已緊急撤銷所有受影響的 API 金鑰,並啟動了針對供應鏈安全性的全面審計,以防止類似的第三方軟體漏洞再次導致資料外洩。
- •資安研究人員指出,此事件凸顯了 AI 新創公司在依賴開源 LLM 閘道器(Gateway)時,若未落實嚴格的權限控管與金鑰輪替機制,將面臨極高的供應鏈風險。
🛠️ 技術深入
- •攻擊路徑:駭客利用 LiteLLM 的配置錯誤(Misconfiguration),繞過了身份驗證機制,直接存取了伺服器端的環境變數(Environment Variables)。
- •資料外洩範圍:受影響的資料包含部分客戶的招募流程元數據(Metadata)以及用於模型推理的 API 存取憑證。
- •緩解措施:Mercor 實施了基於 HashiCorp Vault 的動態金鑰管理系統,以取代靜態環境變數存儲,並加強了對 LiteLLM 實例的網路隔離(Network Isolation)。
🔮 前景展望AI analysis grounded in cited sources
AI 新創將強制採用零信任架構管理第三方開源工具。
此次事件證明依賴單一開源閘道器若缺乏嚴格權限隔離,將成為駭客入侵企業核心系統的跳板。
LiteLLM 等開源專案將面臨更嚴格的安全性合規審查。
企業用戶將要求開源專案提供更透明的安全漏洞揭露機制與更強健的預設安全配置。
⏳ 時間線
2023-05
Mercor 成立,專注於利用 AI 自動化招募流程。
2026-03
駭客利用 LiteLLM 配置漏洞入侵 Mercor 系統。
2026-04
Mercor 正式確認安全事件並對外發布公告。
📰
AI 週報
閱讀本週精選 AI 大事摘要 →
👉相關動態
AI 策展新聞聚合。所有內容版權歸原始發布者所有。
原始來源: TechCrunch AI ↗

