Mercor, LiteLLM సరఫరా-శృంఖల రాజీలకు సంబంధించిన భద్రతా ఘటనను ధృవీకరించింది

ఒకదానిపై మరొకటి దాటి ఉన్న రెండు ముప్పు కథల కేంద్రంలో ఉన్న స్టార్టప్

ప్రధాన మోడల్ డెవలపర్లు మరియు ప్రత్యేక రంగాల్లోని కాంట్రాక్టర్లతో పనిచేసే AI నియామక స్టార్టప్ Mercor, ఓపెన్-సోర్స్ LiteLLM ప్రాజెక్టు రాజీతో సంబంధం ఉన్న భద్రతా ఘటనను ధృవీకరించింది. TechCrunch‌కు కంపెనీ తెలిపిన ప్రకారం, ఇటీవల LiteLLM‌పై జరిగిన దాడి వల్ల ప్రభావితమైన వేలాది కంపెనీలలో తాము ఒకటని పేర్కొంది; అందించిన మూల పాఠ్యంలో ఈ ఘటన TeamPCP అనే సమూహంతో అనుసంధానించబడింది.

ఈ వెల్లడింపు రెండు ప్రధాన సైబర్‌భద్రతా ఆందోళనల సంగమంలో వస్తుంది: విస్తృతంగా ఉపయోగించే ఓపెన్-సోర్స్ సాఫ్ట్‌వేర్‌లో సరఫరా-శృంఖల రాజీ, మరియు యాక్సెస్‌ను ఒత్తిడి సాధనంగా మార్చేందుకు ప్రయత్నించే ఎక్స్‌టోర్షన్ గుంపులు. Mercor విషయంలో, Lapsus$ కంపెనీని లక్ష్యంగా చేసుకుని, దాని వ్యవస్థలలోని డేటాకు ప్రాప్తి సాధించిందని చెప్పడంతో ఒత్తిడి మరింత పెరిగింది.

Mercor ఏమి ధృవీకరించింది

Mercor ప్రతినిధి Heidi Hagberg, సంస్థ సంఘటనను నియంత్రించడానికి మరియు పరిష్కరించడానికి వెంటనే చర్యలు తీసుకుందని, మూడవ పక్ష ఫోరెన్సిక్ నిపుణులతో సమగ్ర దర్యాప్తు చేస్తోందని చెప్పారు. ఈ ప్రకటన, Mercor ఈ ఘటనను తీవ్రమైన భద్రతా అంశంగా పరిగణిస్తున్నదని, ఊహాగాన ముప్పుగా కాకుండా, ధృవీకరిస్తుంది.

అదే సమయంలో, కొన్ని ముఖ్యమైన వివరాలు ఇంకా స్పష్టంగా లేవు లేదా వెల్లడించబడలేదు. ఈ ఘటన Lapsus$ చేసిన ఆరోపణలతో సంబంధముందా అనే ఫాలో-అప్ ప్రశ్నలకు Hagberg సమాధానం ఇవ్వలేదు, అలాగే కస్టమర్ లేదా కాంట్రాక్టర్ డేటా యాక్సెస్ చేయబడిందా, బయటకు తరలించబడిందా, లేదా దుర్వినియోగం చేయబడిందా అని కూడా చెప్పలేదు. దీనివల్ల ప్లాట్‌ఫారమ్‌తో పరస్పర చర్య కలిగే వారికోసం అత్యంత కీలక ప్రశ్నలు తెరిచి ఉన్నాయి: ఏ డేటా, ఉంటే, బయటపడింది, మరియు ఎవరికి ద్వారా.

Mercor చిన్న అంతర్గత సాధనాల ప్రదాత కాదు కాబట్టి ఈ అనిశ్చితి ముఖ్యమైనది. అందించిన మూల పాఠ్యం ప్రకారం, కంపెనీ రోజుకు 20 లక్షల డాలర్లకు పైగా చెల్లింపులను సులభతరం చేస్తుంది మరియు OpenAI, Anthropic వంటి కంపెనీలను శాస్త్రవేత్తలు, వైద్యులు, న్యాయవాదులు వంటి రంగ నిపుణులతో, భారతదేశంలోని వారితో సహా, అనుసంధానిస్తుంది. దీని వల్ల అది కార్యకలాప పరంగా కీలకమైనదిగా, అలాగే డేటా-సంపన్నమైనదిగా కూడా మారుతుంది.

సరఫరా-శృంఖల కోణం

LiteLLM ద్వారా ప్రభావితమైందన్న Mercor ప్రకటన, సాఫ్ట్‌వేర్ సరఫరా-శృంఖలల పెరుగుతున్న వ్యూహాత్మక ప్రాముఖ్యతను సూచిస్తుంది. విస్తృతంగా ఉపయోగించే ఓపెన్-సోర్స్ డిపెండెన్సీలో రాజీ ఏర్పడితే, అనేక సంస్థల్లో అలజడి కలగవచ్చు; వాటిలో చాలామందికి తాము ఒకే రకమైన బహిర్గతానికి లోబడి ఉన్నామని ఘటనలు బయటకు రావడం ప్రారంభించే వరకు అనుమానం కూడా ఉండకపోవచ్చు.

ఇదే కారణంగా సరఫరా-శృంఖల దాడులు అంతటి విఘాతం కలిగిస్తాయి. అవి దాడి చేసేవారిని ఒకసారి లక్ష్యంగా పెట్టి అనేక లక్ష్యాలకు చేరువ చేస్తాయి. LiteLLM అభివృద్ధి లేదా ఉత్పత్తి పనితీరులో విస్తృత కస్టమర్ బేస్ అంతటా అనుసంధానించబడి ఉంటే, ఒకే రాజీ దిగువ స్థాయిలో పెద్ద సంఖ్యలో బాధితులను సృష్టించగలదు. ప్రభావితమైన వేలాది కంపెనీలలో తాము ఒకటమని Mercor చెప్పడం, ఆ సంభావ్య పరిమాణాన్ని నొక్కిచెబుతుంది.

ప్రత్యేకంగా AI కంపెనీలకు ఈ ప్రమాదం ఎక్కువగా ఉంటుంది, ఎందుకంటే వారి టూల్‌చెయిన్లు చాలా వేగంగా విస్తరించాయి. మోడల్ సర్వింగ్ లేయర్లు, ఆర్కెస్ట్రేషన్ టూల్స్, రాపర్లు, ఇంటిగ్రేషన్లు, మరియు ఓపెన్-సోర్స్ యుటిలిటీలను వేగవంతమైన ఉత్పత్తి అభివృద్ధికి మద్దతుగా త్వరగా స్వీకరిస్తారు. ప్రతి డిపెండెన్సీ ఒకే సమయంలో ఉత్పాదకత లాభం మరియు భద్రతా బహిర్గతం కూడా కావచ్చు.

ఎక్స్‌టోర్షన్ దావా ప్రమాదాన్ని పెంచింది

Lapsus$ స్పష్టమైన డేటా బ్రీచ్‌కు బాధ్యతను కోరుకొని, దొంగిలించబడినట్లు చెప్పబడిన పదార్థానికి ఒక నమూనాను పోస్టు చేసినప్పుడు ఈ కేసు మరింత అత్యవసరంగా మారింది. మూల పాఠ్యం ప్రకారం TechCrunch ఆ నమూనాను సమీక్షించింది. అందులో Slack డేటాకు సంబంధించిన సూచనలు, టికెటింగ్ డేటాలా కనిపించినవి, అలాగే Mercor AI వ్యవస్థలు మరియు కంపెనీ ప్లాట్‌ఫారమ్‌లోని కాంట్రాక్టర్ల మధ్య పరస్పర చర్యలను చూపుతున్న రెండు వీడియోలు ఉన్నట్లు చెప్పబడింది.

అది మాత్రమే రాజీ యొక్క పూర్తి పరిధిని లేదా మూలాన్ని నిరూపించదు. TeamPCP సైబర్ దాడిలో భాగంగా Lapsus$ Mercor దొంగిలించిన డేటాను ఎలా పొందిందో ఇప్పటికీ స్పష్టంగా లేదని మూల పాఠ్యం స్పష్టంగా చెబుతుంది. ఆ పరిష్కారంకాని లింక్ కీలకం. సరఫరా-శృంఖల రాజీ ఒక foothold‌ను ఇవ్వగలదు, కానీ ఆ foothold నుంచి డేటా దొంగతనం వరకు వెళ్లే మార్గంలో అదనపు దశలు, నటులు, లేదా విఫలాలు ఉండొచ్చు.

Mercor లేదా బయట పరిశోధకులు మరింత సాంకేతిక వివరాలు ఇవ్వేవరకు ప్రజా చిత్రం అసంపూర్ణంగానే ఉంటుంది. తెలిసినది ఏమిటంటే Mercor ఒక ఘటనను ధృవీకరించింది, LiteLLM‌ను బహిర్గత శృంఖలలో భాగంగా గుర్తించారు, మరియు ఎక్స్‌టోర్షన్ నటులు కంపెనీ డేటాకు ప్రాప్యత ఉందని బహిరంగంగా పేర్కొన్నారు.

ఇది ఒక స్టార్టప్‌కి మించి ఎందుకు ముఖ్యం

ఈ ఘటన AI మౌలిక సదుపాయాల కంపెనీలు ఆధునిక సాఫ్ట్‌వేర్ ఆర్థిక వ్యవస్థలో సున్నితమైన స్థానంలో ఉన్నాయని గుర్తు చేస్తుంది. అవి తరచుగా విలువైన డేటాకు దగ్గరగా ఉంటాయి, పెద్ద కాంట్రాక్టర్ ఎకోసిస్టమ్‌లను నిర్వహిస్తాయి, పెద్ద స్థాయిలో డబ్బును కదిలిస్తాయి, మరియు వేగంగా మారుతున్న ఓపెన్-సోర్స్ స్టాక్‌లపై ఆధారపడతాయి. ఈ కలయిక వాటిని అవకాశవాది మరియు వ్యవస్థీకృత ముప్పు నటులకు ఆకర్షణీయ లక్ష్యాలుగా మార్చగలదు.

ఇది ప్రస్తుత AI ఉత్సాహంలో ఉన్న నిర్మాణాత్మక బలహీనతను కూడా బయటపెడుతుంది. ఈ రంగం తరచుగా వేగం, ఇంటిగ్రేషన్, మరియు మాడ్యులారిటీకి విలువ ఇస్తుంది; ఇవన్నీ డిపెండెన్సీ సంక్లిష్టతను పెంచగలవు. ఆ పొరలు సమానంగా బలమైన సరఫరా-శృంఖల భద్రతతో సరిపోల్చబడనప్పుడు, బయటకు కనిపించేదానికంటే వ్యవస్థ మరింత నాజూకుగా ఉండవచ్చు.

నియంత్రణ చర్యలు మరియు ఫోరెన్సిక్ మద్దతుతో కూడిన Mercor ప్రతిస్పందన, ప్రామాణిక ఘటన-నిర్వహణ ధోరణికి అనుగుణంగా ఉంది. కానీ విస్తృత పాఠం ఒక్క కంపెనీ ప్రతిస్పందన గురించి మాత్రమే కాదు. ఇది అధిక విలువ గల ఎకోసిస్టమ్‌లో విస్తృతంగా పంచుకునే భాగాలపై నిర్మాణం చేయడంతో వచ్చే వారసత్వ ప్రమాదం గురించి.

తర్వాత ఏమి

తదుపరి పరిణామాలు సాధారణంగా పరిధి, బాధ్యత నిర్ణయం, మరియు నోటిఫికేషన్ చుట్టూ తిరుగుతాయి. కస్టమర్లు మరియు కాంట్రాక్టర్లు తమ సమాచారం ప్రభావితమైందా అని స్పష్టత కోరుకుంటారు. భద్రతా బృందాలు LiteLLM రాజీలో ఏది దిగువ బహిర్గతాన్ని సాధ్యం చేసిందో తెలుసుకోవాలనుకుంటాయి. అలాగే ఇలాంటి సాధనాలను ఉపయోగిస్తున్న ఇతర సంస్థలు ఈ ఘటన మరింత విస్తృత ప్రచారానికి సంకేతమా అని దగ్గరగా గమనిస్తాయి.

ప్రస్తుతం, Mercor ధృవీకరణ ఒక వదంతి మరియు లీక్-సైట్ దావాను నమోదు చేసిన భద్రతా ఘటనగా మారుస్తుంది. సరఫరా-శృంఖల దాడిలో మీ కోడ్ మరియు మరొకరి కోడ్ మధ్య సరిహద్దు అసలు అంతగా సరిహద్దు కాదన్న సాంకేతిక రంగం మళ్లీ నేర్చుకుంటున్న పాఠాన్ని కూడా ఇది బలపరుస్తుంది.

ఈ వ్యాసం TechCrunch నివేదిక ఆధారంగా రూపొందించబడింది. మూల వ్యాసాన్ని చదవండి.