Mercor, LiteLLM வழங்கல்-சங்கிலி பாதிப்புடன் தொடர்புடைய பாதுகாப்பு சம்பவத்தை உறுதிப்படுத்தியது

ஒன்றோடொன்று மேலோடும் இரண்டு அச்சுறுத்தல் கதைகளின் மையத்தில் இருக்கும் ஒரு ஸ்டார்ட்அப்

முக்கிய மாடல் உருவாக்குநர்கள் மற்றும் சிறப்பு துறைகளில் உள்ள ஒப்பந்ததாரர்களுடன் பணிபுரியும் AI ஆட்சேர்ப்பு ஸ்டார்ட்அப் Mercor, திறந்த மூல LiteLLM திட்டத்தின் பாதிப்புடன் தொடர்புடைய ஒரு பாதுகாப்பு சம்பவத்தை உறுதிப்படுத்தியுள்ளது. அண்மைய LiteLLM தாக்குதலால் பாதிக்கப்பட்ட ஆயிரக்கணக்கான நிறுவனங்களில் தாம் ஒன்றாக இருந்ததாக TechCrunch-க்கு நிறுவனம் தெரிவித்தது; வழங்கப்பட்ட மூல உரையில் இந்த சம்பவம் TeamPCP எனப்படும் குழுவுடன் இணைக்கப்பட்டுள்ளது.

இந்த வெளிப்பாடு, பரவலாகப் பயன்படுத்தப்படும் திறந்த மூல மென்பொருளில் ஏற்படும் வழங்கல்-சங்கிலி பாதிப்பும், அணுகலை அழுத்தம் செலுத்தும் சக்தியாக மாற்ற முயலும் மிரட்டல் குழுக்களும் என இரண்டு முக்கிய சைபர் பாதுகாப்பு கவலைகள் சந்திக்கும் இடத்தில் வருகிறது. Mercor-இன் நிலையில், Lapsus$ நிறுவனம் தாமே அந்த நிறுவனத்தை குறிவைத்து, அதன் அமைப்புகளில் உள்ள தரவிற்கு அணுகலை பெற்றதாகக் கூறியபோது, அந்த அழுத்தம் மேலும் அதிகரித்தது.

Mercor எதை உறுதிப்படுத்தியது

Mercor பேச்சாளர் Heidi Hagberg, நிறுவனம் சம்பவத்தை கட்டுப்படுத்தவும் சரிசெய்யவும் உடனடியாக நடவடிக்கை எடுத்ததாகவும், மூன்றாம் தரப்பு ஃபோரென்சிக் நிபுணர்களுடன் விரிவான விசாரணை நடத்தி வருவதாகவும் கூறினார். இது, Mercor இந்த நிகழ்வை ஒரு தீவிர பாதுகாப்பு விவகாரமாகக் கருதுகிறது என்பதை உறுதிப்படுத்துகிறது; இது வெறும் ஊகமான அச்சுறுத்தல் அல்ல.

அதே நேரத்தில், முக்கியமான சில விவரங்கள் இன்னும் தீராதவையாகவோ அல்லது வெளியிடப்படாமலோ உள்ளன. இந்த சம்பவம் Lapsus$-இன் கூற்றுகளுடன் தொடர்புடையதா என்ற தொடர்ச்சிக் கேள்விகளுக்கு Hagberg பதில் அளிக்க மறுத்தார்; மேலும் வாடிக்கையாளர் அல்லது ஒப்பந்ததாரர் தரவு அணுகப்பட்டதா, வெளியேற்றப்பட்டதா அல்லது தவறாக பயன்படுத்தப்பட்டதா என்றும் கூறவில்லை. அதனால் தளத்தைப் பயன்படுத்தும் மக்களுக்கு மிக முக்கியமான கேள்விகள் திறந்தவையாகவே உள்ளன: எந்த தரவு, இருந்தால், வெளிப்பட்டது, மற்றும் யாரால்.

Mercor ஒரு சிறிய உள் கருவி வழங்குநர் அல்ல என்பதால் இந்தத் தெளிவின்மை முக்கியமானது. வழங்கப்பட்ட மூல உரையின் படி, நிறுவனம் தினமும் 20 இலட்சம் டாலர்களுக்கும் அதிகமான பணப்பரிவர்த்தனைகளை வசதியாக்குகிறது, மேலும் OpenAI மற்றும் Anthropic போன்ற நிறுவனங்களை விஞ்ஞானிகள், மருத்துவர்கள், வழக்கறிஞர்கள் போன்ற துறை நிபுணர்களுடன், இந்தியாவையும் உட்பட, இணைக்கிறது. இதனால் அது செயல்பாட்டு ரீதியாக முக்கியமானதும், சாத்தியமான அளவில் தரவு-மிகுந்ததுமானதும் ஆகிறது.

வழங்கல்-சங்கிலி கோணம்

LiteLLM மூலம் பாதிக்கப்பட்டதாக Mercor கூறியது, மென்பொருள் வழங்கல்-சங்கிலிகளின் வளர்ந்து வரும் மூலோபாய முக்கியத்துவத்தை சுட்டிக்காட்டுகிறது. பரவலாகப் பயன்படுத்தப்படும் திறந்த மூல சார்பில் ஏற்படும் பாதிப்பு, பல நிறுவனங்களுக்குள் அலைபோல பரவக்கூடும்; அவை அனைத்தும் ஒரே வெளிப்பாட்டைப் பகிர்கிறோம் என்பதை சம்பவங்கள் வெளிவரத் தொடங்கும் வரை உணராமலும் இருக்கலாம்.

இதுவே வழங்கல்-சங்கிலி தாக்குதல்கள் இவ்வளவு குழப்பத்தை ஏற்படுத்துவதற்கான காரணங்களில் ஒன்று. அவை தாக்குதலாளர்களை ஒருமுறை குறிவைத்து பல இலக்குகளை அடைய அனுமதிக்கின்றன. LiteLLM வளர்ச்சி அல்லது உற்பத்தி பணிப்பாய்வுகளில் பரவலான வாடிக்கையாளர் அடிப்படையில் இணைக்கப்பட்டிருந்தால், ஒரே பாதிப்பு downstream பாதிப்புகளின் பெரிய தொகுதியை உருவாக்கக்கூடும். பாதிக்கப்பட்ட ஆயிரக்கணக்கான நிறுவனங்களில் தாம் ஒன்றாக இருந்ததாக Mercor கூறியது, அதன் சாத்தியமான அளவை வலியுறுத்துகிறது.

குறிப்பாக AI நிறுவனங்களுக்கு இந்த ஆபத்து அதிகமாகிறது, ஏனெனில் அவர்களின் கருவிச்சங்கிலிகள் மிக வேகமாக விரிவடைந்துள்ளன. மாதிரி சேவை அடுக்குகள், ஒருங்கிணைப்பு கருவிகள், ராப்பர்கள், இணைப்புகள், மற்றும் திறந்த மூல பயன்பாட்டு கருவிகள் வேகமான தயாரிப்பு வளர்ச்சியை ஆதரிக்க விரைவாக ஏற்றுக்கொள்ளப்படுகின்றன. ஒவ்வொரு சார்பும் உற்பத்தித்திறன் நன்மையாகவும், பாதுகாப்பு வெளிப்பாடாகவும் மாறக்கூடும்.

மிரட்டல் கோரிக்கை நிலையை அதிகரித்தது

Lapsus$ வெளிப்படையான தரவு கசிவுக்கு பொறுப்பை கோரியதும், திருடப்பட்டதாக கூறப்படும் பொருளின் ஒரு மாதிரியை பதிவிட்டதும், இந்த வழக்கு மேலும் அவசரமானதாக மாறியது. மூல உரையின் படி TechCrunch அந்த மாதிரியை பரிசீலித்தது. அதில் Slack தரவுக்கான குறிப்புகள், டிக்கெட்டிங் தரவைப் போலத் தோன்றியவை, மற்றும் Mercor-இன் AI அமைப்புகளுக்கும் நிறுவன தளத்தில் உள்ள ஒப்பந்ததாரர்களுக்கும் இடையிலான தொடர்புகளை காட்டும் இரண்டு வீடியோக்கள் இருந்ததாக கூறப்படுகிறது.

ஆனால் இதுவால் பாதிப்பின் முழு அளவு அல்லது மூலத்தைக் குறித்து தானாக நிரூபணம் ஏற்படவில்லை. TeamPCP-யின் சைபர் தாக்குதலின் ஒரு பகுதியாக Lapsus$ Mercor-இன் திருடப்பட்ட தரவை எவ்வாறு பெற்றது என்பது உடனடியாக தெளிவாக இல்லை என்று மூல உரை வெளிப்படையாகக் கூறுகிறது. அந்தத் தீராத இணைப்பே மையமானது. ஒரு வழங்கல்-சங்கிலி பாதிப்பு ஒரு foothold-ஐ வழங்கலாம்; ஆனால் அந்த foothold-இலிருந்து தரவு திருட்டுக்கான பாதையில் கூடுதல் படிகள், நடிகர்கள் அல்லது தோல்விகள் இருக்கலாம்.

Mercor அல்லது வெளிப்புற விசாரணையாளர்கள் மேலும் தொழில்நுட்ப விவரங்களை வழங்கும் வரை, பொதுப் பார்வை பகுதியளவிலேயே இருக்கும். தெரிந்தது என்னவென்றால், Mercor ஒரு சம்பவத்தை உறுதிப்படுத்தியுள்ளது, LiteLLM வெளிப்பாடு சங்கிலியின் ஒரு பகுதியாக அடையாளம் காணப்பட்டுள்ளது, மேலும் மிரட்டல் செய்பவர்கள் நிறுவனம் தரவிற்கான அணுகலைப் பொதுவாகக் கூறியுள்ளனர்.

இது ஒரு ஸ்டார்ட்அப்பைத் தாண்டியும் ஏன் முக்கியம்

இந்த சம்பவம், AI உட்கட்டமைப்பு நிறுவனங்கள் நவீன மென்பொருள் பொருளாதாரத்தில் ஒரு நுணுக்கமான நிலையில் இருப்பதை நினைவூட்டுகிறது. அவை பெரும்பாலும் மதிப்புமிக்க தரவிற்கு அருகில் அமர்கின்றன, பெரிய ஒப்பந்ததாரர் சூழல்களை நிர்வகிக்கின்றன, பெரிய அளவில் பணத்தை நகர்த்துகின்றன, மற்றும் வேகமாக மாறும் திறந்த மூல அடுக்குகளின் மீது சார்ந்திருக்கின்றன. இந்தக் கூட்டுத்தொகை, அவற்றை வாய்ப்புக் காத்திருக்கும் மற்றும் ஒழுங்கமைக்கப்பட்ட இருவகை அச்சுறுத்தல் நடிகர்களுக்கும் ஈர்க்கத்தக்க இலக்குகளாக மாற்ற முடியும்.

இது தற்போதைய AI பும்மின் கட்டமைப்பு பலவீனத்தையும் வெளிப்படுத்துகிறது. இந்தத் துறை பெரும்பாலும் வேகம், ஒருங்கிணைப்பு, மற்றும் மாட்யூலாரிட்டியை மதிக்கிறது; இவை அனைத்தும் சார்பு சிக்கலை அதிகரிக்கக்கூடும். அந்த அடுக்குகளுக்கு சமமான வலுவான வழங்கல்-சங்கிலி பாதுகாப்பு இல்லாவிட்டால், வெளியில் தோன்றுவதைவிட அந்த அமைப்பு மிகவும் நழுவலாக இருக்கலாம்.

கட்டுப்பாட்டு நடவடிக்கைகள் மற்றும் ஃபோரென்சிக் ஆதரவு உள்ளிட்ட Mercor-இன் பதில், வழக்கமான சம்பவக் கையாளல் நிலைப்பாட்டுடன் ஒத்துள்ளது. ஆனால் பரந்த பாடம் ஒரு நிறுவனத்தின் பதிலளிப்பைப் பற்றியதல்ல. உயர்மதிப்புள்ள சூழலில் பரவலாகப் பகிரப்படும் கூறுகளின் மீது கட்டமைப்பை உருவாக்கும் போது ஏற்படும் மரபான ஆபத்தையே அது பற்றியது.

அடுத்தது என்ன

அடுத்த முன்னேற்றங்கள் பெரும்பாலும் பரப்பு, பொறுப்பு நிர்ணயம், மற்றும் அறிவிப்பு ஆகியவற்றைச் சுற்றி இருக்கும். வாடிக்கையாளர்களும் ஒப்பந்ததாரர்களும் தங்களின் தகவல் பாதிக்கப்பட்டதா என்பதைத் தெளிவாக அறிய விரும்புவார்கள். பாதுகாப்பு குழுக்கள் LiteLLM பாதிப்பில் downstream வெளிப்பாட்டை ஏற்படுத்தியது என்ன என்பதைத் துல்லியமாகப் புரிந்துகொள்ள விரும்புவார்கள். அதே போன்ற கருவிகளைப் பயன்படுத்தும் பிற நிறுவனங்கள், இந்தச் சம்பவம் பரந்த பிரச்சாரத்தைக் குறிக்கிறதா என்பதை உற்றுநோக்கிப் பார்ப்பார்கள்.

இப்போதைக்கு, Mercor-இன் உறுதிப்படுத்தல் ஒரு வதந்தியையும் லீக்-சைட் கோரிக்கையையும் ஆவணப்படுத்தப்பட்ட பாதுகாப்பு நிகழ்வாக மாற்றுகிறது. அது தொழில்நுட்பத் துறை தொடர்ந்து மீண்டும் கற்றுக்கொள்ளும் ஒரு பாடத்தையும் உறுதிப்படுத்துகிறது: வழங்கல்-சங்கிலி தாக்குதலில், உங்கள் கோடும் வேறு ஒருவரின் கோடும் இடையிலான எல்லை என்பது உண்மையில் எல்லையாகவே இருப்பதில்லை.

இந்தக் கட்டுரை TechCrunch-ன் செய்தியறிக்கையை அடிப்படையாகக் கொண்டது. மூலக் கட்டுரையைப் படிக்கவும்.

Mercor, LiteLLM வழங்கல்-சங்கிலி பாதிப்புடன் தொடர்புடைய பாதுகாப்பு சம்பவத்தை உறுதிப்படுத்தியது

ஒன்றோடொன்று மேலோடும் இரண்டு அச்சுறுத்தல் கதைகளின் மையத்தில் இருக்கும் ஒரு ஸ்டார்ட்அப்

Mercor எதை உறுதிப்படுத்தியது

வழங்கல்-சங்கிலி கோணம்

மிரட்டல் கோரிக்கை நிலையை அதிகரித்தது

இது ஒரு ஸ்டார்ட்அப்பைத் தாண்டியும் ஏன் முக்கியம்

அடுத்தது என்ன

Related Articles

Keep Reading

Comments (0)

Apple-இன் App Store போராட்டம் இப்போது தள அதிகாரத்தின் உலகளாவிய சோதனையாக மாறியுள்ளது

Hackers, Ignition Interlocks-ஐ கீழே இறக்கி, DUI இயக்குனர்களை சிக்க வைத்தனர்

சட்டப்பூர்வதை ஸ்டார்ட்அப் Delve 'போலி சட்டப்பூர்வதை' জালியாതியில் குற்றம் சாட்டப்பட்டுள்ளது

Amazon-இன் Trainium ஆய்வகத்தின் உள்ளே: AI பெருநிறுவனங்களை கவர்ந்திழுக்கும் சிப்