Mercor LiteLLM সরবরাহ-শৃঙ্খল আপসের সঙ্গে যুক্ত নিরাপত্তা ঘটনা নিশ্চিত করেছে

দুটি ওভারল্যাপ করা হুমকির বর্ণনার কেন্দ্রস্থলে থাকা একটি স্টার্টআপ

Mercor, একটি এআই নিয়োগ স্টার্টআপ যা প্রধান মডেল ডেভেলপার এবং বিশেষায়িত ক্ষেত্রের ঠিকাদারদের সঙ্গে কাজ করে, ওপেন-সোর্স LiteLLM প্রকল্পের আপসের সঙ্গে সম্পর্কিত একটি নিরাপত্তা ঘটনার বিষয়টি নিশ্চিত করেছে। কোম্পানিটি TechCrunch-কে জানায়, সাম্প্রতিক LiteLLM আক্রমণে ক্ষতিগ্রস্ত হাজারো কোম্পানির মধ্যে তারা একটি ছিল; সরবরাহ করা উৎস পাঠ অনুযায়ী ঘটনাটি TeamPCP নামের একটি গোষ্ঠীর সঙ্গে যুক্ত।

এই প্রকাশ দুটি বড় সাইবারনিরাপত্তা উদ্বেগের সংযোগস্থলে আসে: ব্যাপকভাবে ব্যবহৃত ওপেন-সোর্স সফটওয়্যারে সরবরাহ-শৃঙ্খল আপস, এবং প্রবেশাধিকারকে চাপ সৃষ্টির হাতিয়ারে রূপ দিতে চাওয়া চাঁদাবাজ গোষ্ঠী। Mercor-এর ক্ষেত্রে, Lapsus$ দাবি করে যে তারা কোম্পানিটিকে লক্ষ্য করেছে এবং তার সিস্টেম থেকে ডেটায় প্রবেশ পেয়েছে।

Mercor কী নিশ্চিত করেছে

Mercor-এর মুখপাত্র Heidi Hagberg বলেন, কোম্পানি দ্রুত ঘটনাটি নিয়ন্ত্রণ ও প্রতিকার করতে পদক্ষেপ নিয়েছে এবং তৃতীয়-পক্ষ ফরেনসিক বিশেষজ্ঞদের সঙ্গে একটি বিস্তৃত তদন্ত চালাচ্ছে। এই বিবৃতি নিশ্চিত করে যে Mercor ঘটনাটিকে একটি গুরুতর নিরাপত্তা বিষয় হিসেবে দেখছে, অনুমানভিত্তিক হুমকি হিসেবে নয়।

একই সঙ্গে, গুরুত্বপূর্ণ কিছু বিবরণ এখনও অমীমাংসিত বা প্রকাশ করা হয়নি। Hagberg পরে করা প্রশ্নের উত্তর দিতে অস্বীকার করেন যে ঘটনাটি Lapsus$-এর দাবির সঙ্গে যুক্ত ছিল কি না, এবং জানাননি যে গ্রাহক বা ঠিকাদারের ডেটা অ্যাক্সেস, বের করে নেওয়া, বা অপব্যবহার করা হয়েছিল কি না। ফলে প্ল্যাটফর্মের সঙ্গে যুক্ত মানুষের জন্য সবচেয়ে গুরুত্বপূর্ণ প্রশ্নগুলো খোলা থেকে যায়: কোন ডেটা, যদি কিছু থেকে থাকে, উন্মুক্ত হয়েছে, এবং কার দ্বারা।

এই অস্পষ্টতা গুরুত্বপূর্ণ, কারণ Mercor কোনো ছোট অভ্যন্তরীণ টুল প্রদানকারী নয়। সরবরাহ করা উৎস পাঠ অনুযায়ী, কোম্পানিটি দৈনিক ২০ লক্ষ ডলারেরও বেশি পেমেন্ট সহজতর করে এবং OpenAI ও Anthropic-এর মতো কোম্পানিকে বিজ্ঞানী, চিকিৎসক ও আইনজীবীসহ বিষয়বিশেষজ্ঞদের সঙ্গে যুক্ত করে, যার মধ্যে ভারতেও রয়েছে। ফলে এটি যেমন কার্যগতভাবে গুরুত্বপূর্ণ, তেমনি সম্ভাব্যভাবে ডেটা-সমৃদ্ধও।

সরবরাহ-শৃঙ্খল দিক

LiteLLM-এর মাধ্যমে প্রভাবিত হওয়ার Mercor-এর বক্তব্য সফটওয়্যার সরবরাহ-শৃঙ্খলের ক্রমবর্ধমান কৌশলগত গুরুত্বের দিকে ইঙ্গিত করে। বহুল ব্যবহৃত একটি ওপেন-সোর্স নির্ভরতায় আপস হলে বহু সংস্থার মধ্যে প্রভাব ছড়িয়ে পড়তে পারে, যাদের অনেকেই তাদের একই ধরনের এক্সপোজার ভাগাভাগি করছে তা টের পায় না যতক্ষণ না ঘটনাগুলো সামনে আসতে শুরু করে।

এই কারণেই সরবরাহ-শৃঙ্খল আক্রমণ এতটা বিঘ্নকর। এগুলো আক্রমণকারীদের একবার আঘাত করে বহু লক্ষ্যবস্তুতে পৌঁছাতে দেয়। LiteLLM যদি বিস্তৃত গ্রাহকভিত্তির মধ্যে উন্নয়ন বা প্রোডাকশন ওয়ার্কফ্লোতে যুক্ত থাকে, তবে একটি আপসই downstream ভুক্তভোগীদের বড় একটি পুল তৈরি করতে পারে। Mercor-এর মন্তব্য যে তারা ক্ষতিগ্রস্ত হাজারো কোম্পানির একটি, সম্ভাব্য পরিসরকে তুলে ধরে।

বিশেষ করে এআই কোম্পানিগুলোর ক্ষেত্রে এই ঝুঁকি বেড়ে যায়, কারণ তাদের টুলচেইন খুব দ্রুত বিস্তৃত হয়েছে। মডেল সার্ভিং লেয়ার, অর্কেস্ট্রেশন টুল, র‍্যাপার, ইন্টিগ্রেশন এবং ওপেন-সোর্স ইউটিলিটিগুলো দ্রুত পণ্য উন্নয়নকে সহায়তা করতে প্রায়ই তাড়াহুড়ো করে গ্রহণ করা হয়। প্রতিটি নির্ভরতা একই সঙ্গে উৎপাদনশীলতার লাভ এবং নিরাপত্তা-এক্সপোজার হয়ে উঠতে পারে।

চাঁদাবাজির দাবি ঝুঁকি বাড়িয়েছে

Lapsus$ একটি স্পষ্ট ডেটা ব্রিচের দায় স্বীকার করেছে এবং কথিত চুরি করা উপাদানের একটি নমুনা পোস্ট করার পর ঘটনাটি আরও জরুরি হয়ে ওঠে। উৎস পাঠ অনুযায়ী TechCrunch ওই নমুনা পর্যালোচনা করে। এতে Slack ডেটার উল্লেখ, টিকিটিং ডেটার মতো মনে হওয়া কিছু অংশ, এবং Mercor-এর এআই সিস্টেম ও কোম্পানির প্ল্যাটফর্মে ঠিকাদারদের মধ্যে পারস্পরিক যোগাযোগ দেখানো দুটি ভিডিও ছিল বলে জানানো হয়।

তবে এটি নিজে থেকেই আপসের পূর্ণ পরিসর বা উৎস প্রমাণ করে না। উৎস পাঠ স্পষ্টভাবে বলে, TeamPCP-এর সাইবার আক্রমণের অংশ হিসেবে Lapsus$ কীভাবে Mercor থেকে চুরি করা ডেটা পেয়েছে তা তাৎক্ষণিকভাবে পরিষ্কার নয়। এই অমীমাংসিত সংযোগটি কেন্দ্রীয়। একটি সরবরাহ-শৃঙ্খল আপস একটি foothold দিতে পারে, কিন্তু সেই foothold থেকে ডেটা চুরির পথে অতিরিক্ত ধাপ, অভিনেতা, বা ব্যর্থতা জড়িত থাকতে পারে।

Mercor বা বাইরের তদন্তকারীরা আরও প্রযুক্তিগত বিশদ না দেওয়া পর্যন্ত জনসমক্ষে চিত্রটি আংশিকই থাকবে। যা জানা আছে তা হলো Mercor একটি ঘটনা নিশ্চিত করেছে, LiteLLM-কে এক্সপোজার চেইনের অংশ হিসেবে চিহ্নিত করা হয়েছে, এবং চাঁদাবাজরা প্রকাশ্যে কোম্পানির ডেটায় প্রবেশের দাবি করেছে।

কেন এটি একটি স্টার্টআপের বাইরেও গুরুত্বপূর্ণ

এই ঘটনা মনে করিয়ে দেয় যে এআই অবকাঠামো কোম্পানিগুলো আধুনিক সফটওয়্যার অর্থনীতিতে একটি সংবেদনশীল অবস্থানে থাকে। তারা প্রায়ই মূল্যবান ডেটার কাছে থাকে, বড় ঠিকাদার-পরিবেশ পরিচালনা করে, বড় পরিসরে অর্থ স্থানান্তর করে, এবং দ্রুত বিকাশমান ওপেন-সোর্স স্ট্যাকের ওপর নির্ভরশীল। এই সমন্বয় তাদের সুযোগসন্ধানী ও সংগঠিত উভয় ধরনের হুমকি-কারীর কাছে আকর্ষণীয় করে তুলতে পারে।

এটি চলমান এআই বুমের একটি কাঠামোগত দুর্বলতাও প্রকাশ করে। এই খাত প্রায়ই গতি, ইন্টিগ্রেশন, এবং মডিউলারিটিকে মূল্য দেয়, যা সবই নির্ভরতার জটিলতা বাড়াতে পারে। সেই স্তরগুলো যদি সমানভাবে শক্তিশালী সরবরাহ-শৃঙ্খল সুরক্ষার সঙ্গে মেলানো না হয়, তবে শেষ পর্যন্ত সিস্টেমটি বাইরে থেকে যতটা মনে হয় তার চেয়ে বেশি ভঙ্গুর হতে পারে।

Mercor-এর প্রতিক্রিয়া, যার মধ্যে নিয়ন্ত্রণমূলক ব্যবস্থা এবং ফরেনসিক সহায়তা রয়েছে, মানক ঘটনা-ব্যবস্থাপনার অবস্থানের সঙ্গে সামঞ্জস্যপূর্ণ। কিন্তু বৃহত্তর শিক্ষা শুধু একটি কোম্পানির প্রতিক্রিয়া নিয়ে নয়। এটি উচ্চ-মূল্যের একটি পরিবেশে বহুল ভাগ করা উপাদানের ওপর নির্মাণ করার সঙ্গে আসা উত্তরাধিকারসূত্রে প্রাপ্ত ঝুঁকি নিয়ে।

এর পর কী

পরবর্তী ঘটনাবলি সম্ভবত পরিসর, দায়বদ্ধতা নির্ধারণ, এবং নোটিফিকেশনের চারপাশে ঘুরবে। গ্রাহক ও ঠিকাদাররা জানতে চাইবেন তাদের তথ্য প্রভাবিত হয়েছে কি না। নিরাপত্তা দলগুলো জানতে চাইবে LiteLLM আপসের ঠিক কোন অংশ downstream এক্সপোজার সম্ভব করেছিল। আর অনুরূপ টুল ব্যবহারকারী অন্যান্য সংস্থাগুলো নিবিড়ভাবে দেখবে ঘটনাটি বৃহত্তর কোনো অভিযানের ইঙ্গিত দেয় কি না।

এখন, Mercor-এর নিশ্চিতকরণ একটি গুজব এবং লিক-সাইটের দাবি থেকে নথিভুক্ত একটি নিরাপত্তা ঘটনায় পরিণত করেছে। এটি প্রযুক্তি খাত বারবার শিখতে থাকা একটি পাঠও পুনর্ব্যক্ত করে: সরবরাহ-শৃঙ্খল আক্রমণে, আপনার কোড আর অন্য কারও কোডের মাঝের সীমানা আসলে খুব একটা সীমানা নয়।

এই নিবন্ধটি TechCrunch-এর প্রতিবেদনের ভিত্তিতে। মূল নিবন্ধটি পড়ুন.