Der KI-Startup Mercor, der vor sechs Monaten nach einer Milliarden-Aufnahme auf eine Bewertung von zehn Milliarden Dollar kam, sieht sich nun nach einem schwerwiegenden Sicherheitsvorfall einer ernsten Krise gegenüber. Am 31. März gab das Unternehmen zu, Ziel eines Datenlecks geworden zu sein. Seitdem beansprucht eine Hackergruppe, 4 Terabyte an gestohlenen Daten erbeutet zu haben, darunter Kandidatenprofile, personenbezogene Informationen, Arbeitgeberdaten, Quellcode und API-Schlüssel. Mercor bestätigte die Authentizität der Daten noch nicht und verwies auf laufende Untersuchungen. Das Sicherheitsleck wurde durch einen Hack auf die weit verbreitete Open-Source-Plattform LiteLLM verursacht. Für einen Zeitraum von 40 Minuten enthielt das Tool Malware zur Abgriff von Zugangsdaten, mit der sich Hacker über verschiedene Software und Konten ausbreiteten. Die Folgen für Mercor sind bereits spürbar. Meta hat seine Verträge mit dem Unternehmen auf unbestimmte Zeit ausgesetzt. Da Mercor Zugang zu kritischen Geschäftsgeheimnissen und benutzerdefinierten Datensätzen hat, die für das Training von Sprachmodellen essenziell sind, ist dies ein schwerwiegender Rückschlag. Obwohl Meta zuvor massive Summen in den Konkurrenten Scale AI investiert hatte, hat der Umgang mit Mercor traditionell bestanden. OpenAI bestätigte zwar eine Untersuchung der eigenen Gefährdung durch den Vorfall, hat seine Verträge jedoch bisher nicht gekündigt. Dennoch berichten anonyme Quellen, dass andere große Modellhersteller ihre Geschäftsbeziehungen zu Mercor überprüfen könnten. Parallel dazu klagen fünf ehemalige Mercor-Mitarbeiter wegen der Verletzung ihrer Privatsphäre. Ein eingereichter Rechtsstreit nennt neben Mercor auch LiteLLM und den KI-Compliance-Anbieter Delve als Beklagte. Delve, das die Sicherheitszertifizierung für LiteLLM durchgeführt hatte, steht selbst in der Kritik, Sicherheitsdaten manipuliert zu haben. Obwohl Mercor kein Kunde von Delve war, zeigt dieser Vorfall die komplexen Risiken in der Lieferkette auf. Das Unternehmen gab an, bisher nicht als Kunden von Delve tätig gewesen zu sein, dennoch könnte der langfristige Vertrauensverlust erhebliche finanzielle Einbußen bedeuten. Vor dem Vorfall lag Mercor auf Kurs, im laufenden Jahr über eine Jahresumsatz von einer Milliarde Dollar zu erzielen. Während LiteLLM inzwischen seine Sicherheitszertifikate bei einem neuen Anbieter neu beantragt und einen Vorfallbericht veröffentlicht hat, bleibt die Zukunft von Mercor offen. Ob die aktuellen Klagen und die Aussetzung von Vertragspartnern das Ende einer Milliardärsmarke bedeuten oder sich das Unternehmen von dem Schaden erholen kann, bleibt abzuwarten.