AI独角兽企业Mercor证实,其开源项目LiteLLM遭遇供应链攻击。攻击者植入恶意代码,影响范围覆盖数千家企业。事件疑与黑客组织TeamPCP有关,同时勒索组织Lapsus$声称已窃取Mercor内部数据,并公开部分Slack记录及AI系统相关资料。LiteLLM为高频使用的开源库,主要用于简化OpenAI、Anthropic等模型API调用,日均下载量达百万级。恶意代码在数小时内被识别移除,Mercor已聘请第三方取证团队介入调查,并更换合规认证机构为Vanta。该公司估值约100亿美元,C轮融资达3.5亿美元。此次事件被视为AI基础设施领域的重大安全风险,凸显开源生态在快速扩张中的合规与安全隐患。
