AI 採用スタートアップの Mercor は、オープンソースプロジェクト「LiteLLM」のサプライチェーン攻撃に関連するサイバー攻撃の影響を受けたことを確認しました。同社は TechCrunch の取材に対し、今回の攻撃はハッキング集団 TeamPCP によるものとしており、数千社以上の企業が影響を受けているとしています。一方、別のランサムウェア集団「Lapsus$」も Mercor を標的とし、データへのアクセスに成功したと主張しています。しかし、Lapsus$ が TeamPCP の攻撃を通じてどのようにデータを入手したかについては、現時点では不明な点が多い状況です。Mercor は 2023 年に設立され、OpenAI や Anthropic などの企業と協力して、世界中の科学者や医師、弁護士などの専門家を AI モデルのトレーニングに活用しています。同社は毎日 200 万ドル以上の支払いを取り扱っており、2025 年 10 月に 3.5 億ドルのシリーズ C ラウンドを完了した際、企業価値は 100 億ドルに達したと報じられています。Mercor の広報担当者、ヘイディ・ハーグバーグは、同社が被害の封じ込めと修復に即座に対応し、第三者の forensic 専門家の協力を得て徹底した調査を進めていると述べています。また、顧客や契約者との適切なコミュニケーションを継続し、早期の解決に資源を投入する方針を示しました。先月、Lapsus$ は自身のリークサイトで Mercor のデータサンプルを公開し、Slack のデータやチケット管理システムの情報、さらに AI システムと契約者との会話内容を示す動画を共有したと発表しました。これを受け TechCrunch がサンプルを確認しましたが、Mercor は今回の攻撃が Lapsus$ の主張とどう関連するか、あるいは顧客や契約者のデータが実際に取得・漏洩・悪用されたかなどについては、具体的な回答を避けています。今回の LiteLLM の侵害事象は先週、同プロジェクトのパッケージに悪意のあるコードが含まれていることが発見されたことで表面化しました。コードは数時間以内に特定され削除されましたが、同ライブラリは毎日数百万回ダウンロードされるほど世界的に広く利用されているため、大きな注目を集めました。これにより、LiteLLM はコンプライアンスプロセスを変更し、審査基準として以前から批判的なスタートアップ「Delve」から「Vanta」へと変更を行いました。現時点では、LiteLLM に起因する攻撃で影響を受けた企業の正確な数や、実際にデータが露呈したかどうかは、調査が進められるまで不明なままです。