Die Kette, die niemand auditiert hat
Ende März 2026 informierte Mercor – ein auf 10 Milliarden Dollar bewertetes Startup, das Experten anstellt, um Trainingsdatensätze für Sprachmodelle zu erstellen – seine Auftragnehmer über einen Sicherheitsvorfall. Die Ursache: eine Schwachstelle in LiteLLM, einem Open-Source-Tool zur Verwaltung von Sprachmodellen. Die Angreifer, die vermutlich mit der Gruppe TeamPCP verbunden sind, obwohl auch der bekannte Name LAPSUS$ in den Raum geworfen wird, behaupten, fast 4 Terabyte Informationen extrahiert zu haben: 211 Gigabyte Datenbankdateien, 939 Gigabyte Quellcode und 3 Terabyte Bucket-Daten, die Videoaufnahmen von Interviews und Dokumente zur Identitätsprüfung enthalten. Über 40.000 Auftragnehmer und Kunden sahen ihre vollständigen Namen und Sozialversicherungsnummern exponiert.
Die Reaktion von Meta war sofort und klar: unbefristete Aussetzung aller Kooperationen mit Mercor. OpenAI hingegen leitete eine interne Untersuchung ein, ohne die aktiven Projekte zu stoppen, und versicherte, dass die Sicherheitslücke keine Nutzerdaten betroffen habe. Anthropic überprüft seine Verbindungen. Eine Klage ist bereits anhängig.
Was dieser Vorfall zeigt, ist nicht nur ein technisches Versagen. Er ist das Bild einer Abhängigkeitsarchitektur, die die AI-Branche unbemerkt aufgebaut hat.
Das Geschäftsmodell, das die KI ermöglicht, hat einen versteckten Preis
Mercor ist kein peripheres Unternehmen. Es operiert im Kern, wie große KI-Firmen ihre Modelle herstellen: Es stellt Tausende von Experten in speziellen Bereichen ein, um maßgeschneiderte Trainingsdaten zu generieren und zu validieren. Meta, OpenAI und Anthropic sind auf diesen Fluss angewiesen, um Modelle zu optimieren, die dann Produkte speisen, die Milliarden an Einnahmen generieren.
Diese Abhängigkeit hat eine konkrete Finanzmechanik. Hochwertige Trainingsdaten, die von realen Experten validiert werden, sind eines der wenigen Unterscheidungsmerkmale, die noch nicht vollständig automatisiert werden können. Sie sind, in Bezug auf den Wettbewerbsvorteil, strategische Vermögenswerte. Und Meta, deren Geschäftsmodell im Wesentlichen über 90 % seiner Einnahmen von der Leistung seiner KI-Systeme abhängt, behandelt sie auch so. Der gefilterte Quellcode ist nicht nur Code: Er enthält Trainingsmethoden, die Konkurrenten nutzen könnten, um Jahre der eigenen Entwicklung abzukürzen.
Dies ist das Paradoxon, das der Vorfall mit Mercor präzise beleuchtet: Je mehr die Wertschöpfungskette der KI digitalisiert und ausgelagert wird, desto mehr verteilt sich das Risiko auf Akteure, die nicht die gleiche regulatorische Exposition oder die gleichen Sicherheitsanreize wie die großen Labore haben. Mercor, gegründet im Jahr 2023, erreichte innerhalb von zwei Jahren eine Bewertung von 10 Milliarden. Diese Wachstumsrate geht selten mit einer entsprechenden Reife in den Sicherheitskontrollen einher.
Der Angriffsvektor war zudem kein proprietäres System von Mercor. Es war LiteLLM, eine Open-Source-Abhängigkeit. Hierin liegt die strukturelle Falle: Die Software-Lieferkette in der KI basiert auf Schichten offener Werkzeuge, die von keinem einzelnen Akteur vollständig kontrolliert werden. Wenn eine dieser Schichten versagt, breitet sich der Einfluss horizontal auf Tausende von Organisationen gleichzeitig aus.
Warum Meta handelt und OpenAI wartet
Der Unterschied in der Reaktion zwischen Meta und OpenAI ist nicht nur temperamental. Er spiegelt unterschiedliche strategische Positionen gegenüber demselben Risiko wider.
Meta hat öffentliche Verpflichtungen zur Open Source – ihre Modellfamilie Llama ist ihr Hauptfokus für technische Positionierung – und aus diesem Grund ist ihre reputationale Exposition bei einem Vorfall mit Trainingsdaten größer. Wenn die Methoden zur Feinabstimmung ihrer Modelle offengelegt werden, wird das Argument, dass Open Source keine Offenheit der Trainingsdaten bedeutet, schwer haltbar. Die unbegrenzte Aussetzung von Mercor ist aus dieser Perspektive sowohl ein Signal an den Markt als auch eine Eindämmungsmaßnahme.
OpenAI operiert unter einer anderen Logik. Ihre Systeme sind geschlossen, und die Assertion, dass die Sicherheitslücke keine Nutzerdaten betroffen habe, zielt direkt darauf ab, das Vertrauen des Endverbrauchers zu schützen, das ihr sensibelstes Gut ist. Die laufenden Projekte während der Untersuchung zu halten, deutet darauf hin, dass die operative Unterbrechung für OpenAI höhere Kosten hat als das unmittelbare Reputationsrisiko. Das ist keine Nachlässigkeit: Es ist eine andere Berechnung der Exposition.
Diese Divergenz zwischen den beiden größten Akteuren des Sektors hat Folgen für Mercor, die über die aktuelle Pause hinausgehen. Wenn Meta die Zusammenarbeit nicht wieder aufnimmt, verliert Mercor einen ihrer größten Kunden in einem Moment, in dem ihre Glaubwürdigkeit als Anbieter am tiefsten Punkt ist. Eine Bewertung von 10 Milliarden, die auf Verträgen mit KI-Laboren basiert, ist außergewöhnlich verwundbar, wenn diese Labore gleichzeitig ihre gesamte Lieferkette neu bewerten.
Die bereits laufende Sammelklage fügt eine Schicht finanzieller Exposition hinzu, die die Investoren von Mercor nicht im Preis hatten. Datenlecks im Terabyte-Maßstab, die Sozialversicherungsnummern enthalten, führen zu langwierigen und teuren Rechtsstreitigkeiten. Die Frage für die Investoren ist nicht, ob Mercor den technischen Vorfall überleben wird, sondern ob das Unternehmen die Kombination aus Vertragsverlust und Rechtskosten ohne signifikante Neuverhandlung seiner Kapitalstruktur verkraften kann.
Die Entmonetarisierung des unsichtbaren Risikos
Jahrelang operierte die KI-Industrie unter einer impliziten Prämisse: Die Geschwindigkeit der Entwicklung kompensierte jeden Mangel an Lieferanten-Governance. Die Labore rannten, um Modelle zu launchen, die Datenanbieter rannten, um zu skalieren, und Sicherheitsüberprüfungen wurden auf "nach der nächsten Runde" verschoben.
Dieser Vorfall wirkt als Beschleuniger einer bereits vorher sichtbaren Tendenz: die Internalisierung kritischer Fähigkeiten. Google und Meta entwickeln seit Jahren interne Teams zur Annotation und Validierung von Daten, um die Abhängigkeit von Dritten zu verringern. Der Vorfall mit Mercor verwandelt diese Tendenz in eine betriebliche Dringlichkeit für jedes Labor, das diese Transition noch nicht abgeschlossen hat.
Der Markt für spezialisierte Anbieter von Trainingsdaten steht somit vor einer strukturellen Umgestaltung. Akteure, die nachweisbare Sicherheitskontrollen demonstrieren können und nicht nur Geschwindigkeit in der Auslieferung bieten, werden Verträge gewinnen. Diejenigen, die ihr Wertversprechen ausschließlich auf Skalierung und Geschwindigkeit bei der Anwerbung von Experten aufgebaut haben, werden feststellen, dass dieser Unterscheidungsfaktor schnell erodiert, wenn Kunden "Sicherheitszertifizierung" als nicht verhandelbares Kriterium hinzuzufügen.
Die 6Ds der exponentiellen Analyse verorten diesen Moment klar: Der Markt für Trainingsdaten in der KI verlässt die Enttäuschungsphase, in der Geschwindigkeit die Risse verbarg, und tritt in die interne Disruption ein, wo Sicherheitsstandards zum neuen Auswahlfilter für Anbieter werden. Die beschleunigte Digitalisierung der Wertschöpfungskette der KI hat bereits stattgefunden. Was nicht im gleichen Tempo digitalisiert wurde, ist die Fähigkeit, diese Kette in Echtzeit zu auditieren. Diese Diskrepanz ist das, was Mercor und potenziell Dutzende ähnlicher Anbieter jetzt bezahlen.
Erweiterte Intelligenz funktioniert nur als nachhaltiger Vorteil, wenn die Daten, die sie füttern, eine überprüfbare Herkunftskette haben. Ein Modell, das mit kompromittierten Daten trainiert wird, ist kein Vermögen: es ist eine latente Verbindlichkeit.
