Mercor e o preço de construir sobre areia emprestada
No dia 31 de março de 2026, a Mercor — a startup de treinamento de inteligência artificial avaliada em 10 bilhões de dólares — confirmou publicamente o que já corria entre pesquisadores de cibersegurança: havia sido atingida por uma vulnerabilidade através do LiteLLM, uma ferramenta de código aberto integrada à sua infraestrutura. O resultado foi a exfiltração de aproximadamente 4 terabytes de dados, incluindo 939 GB de código-fonte da plataforma, uma base de dados de usuários de 211 GB, cerca de 3 terabytes de gravações de entrevistas em vídeo, documentos de verificação de identidade, comunicações internas do Slack e informações pessoais — incluindo números de CPF — de mais de 40 mil contratados independientes.
Em menos de uma semana, ao menos cinco ações coletivas foram apresentadas em tribunais federais da Califórnia e Texas. A Meta suspendeu indefinidamente todos os seus contratos com a empresa. O site MercorClaims.com apareceu na internet quase que imediatamente. E o grupo Lapsus$ leiloou os dados roubados em seu site de vazamentos.
O que eu vou analisar aqui não é o ataque em si. Os detalhes técnicos são fascinantes, mas a história de fundo é mais importante para qualquer líder que hoje está construindo um negócio sobre a promessa da inteligência artificial.
Como a vulnerabilidade foi construída antes da chegada do atacante
O vetor de entrada foi um ataque à cadeia de suprimentos de software. O grupo TeamPCP explorou uma vulnerabilidade no Trivy, um escaneador de segurança de código aberto, para roubar credenciais de mantenedores. Com essas credenciais, comprometeu duas versões do LiteLLM — uma ponte de IA com 95 milhões de downloads mensais — registrada como CVE-2026-33634. A partir daí, obteve acesso lateral à infraestrutura da Mercor. As versões maliciosas do LiteLLM estiveram ativas entre 40 minutos e 3 horas. Suficiente.
O CISO da AppOmni, Cory Michal, descreveu isso como "uma categoria mais consequente" do que os ataques de injeção de prompts, justamente porque compromete a camada de infraestrutura antes que exista qualquer conversa com o modelo. Não é um ataque ao produto; é um ataque à fundação.
Aqui reside o problema estrutural que nenhum comunicado de imprensa da Mercor vai resolver: a empresa construiu uma proposta de valor de 10 bilhões de dólares sobre uma dependência crítica que não controlava, não financiava e, segundo as ações, também não auditava com rigor. O LiteLLM é gratuito e de código aberto. A Mercor não pagava por ele. Se beneficiava dele. E quando falhou, absorveu todo o dano.
Este não é um problema exclusivo da Mercor. É o modelo operacional de boa parte do setor. As startups de treinamento de IA constroem sobre camadas de ferramentas abertas porque isso reduz seus custos variáveis no curto prazo. Mas essa redução de custos é, em termos mais precisos, uma transferência de risco para baixo na cadeia, para os mantenedores voluntários, para os contratados independentes e, quando o sistema falha, para os 40 mil trabalhadores cujo número de CPF agora circula em mercados clandestinos.
O modelo extrativo que a avaliação de 10 bilhões ocultava
A Mercor opera no setor de rotulagem e treinamento de dados de IA. Sua proposta é conectar trabalhadores independentes — contratados na terminologia legal — com empresas como Meta, OpenAI, Anthropic e Google, para que realizem tarefas de feedback humano que os modelos de linguagem precisam para aprender. É, em essência, uma plataforma de trabalho fragmentado aplicada ao segmento mais estratégico da economia tecnológica.
O CEO da Y Combinator apontou que os dados expostos representam "milhares de milhões em valor" e um risco de segurança nacional, dado que incluiriam critérios de seleção de dados, protocolos de rotulagem e estratégias de treinamento por reforço de fronteira. Não é hiperbólico. Essa informação, em mãos erradas, é uma vantagem competitiva direta para quem estiver construindo modelos rivais.
Mas observemos a estrutura de dentro: os contratados que geraram esse valor — cujas gravações de entrevistas, formulários W-9 e conversas com sistemas de IA foram roubados — eram trabalhadores independentes sem proteção trabalhista padrão. Entregaram dados biométricos, informações fiscais e horas de trabalho cognitivo. Em troca, receberam pagamentos por tarefa. Quando o sistema falhou, os primeiros a absorver o custo foram eles: suas identidades expostas, seus rendimentos interrompidos quando a Meta pausou os contratos, e agora enfrentam os custos de mitigação de riscos de identidade que uma demandante nos documentos judiciais quantifica como perdas diretas.
NaTivia Esson, uma das demandantes, trabalhou para a Mercor entre março de 2025 e março de 2026. Ela entregou formulários W-9 com suas informações pessoais. Hoje, paga do próprio bolso os serviços de proteção de identidade que a empresa não forneceu. Isso é o que significa, em termos operacionais concretos, um modelo onde o risco é externalizado para os elos mais fracos da cadeia.
A arquitetura financeira que permite uma avaliação de 10 bilhões requer margens altas. As margens altas em plataformas de trabalho fragmentado vêm, em parte, de classificar os trabalhadores como contratados independentes — eliminando custos de benefícios, seguros e proteção de dados que seriam obrigatórios com empregados —. Essa economia estrutural é exatamente o que torna a brecha de dados em uma catástrofe legal: sem a relação trabalhista formal, a empresa manteve acesso a informações altamente sensíveis sem assumir as obrigações de custódia que essa informação exige.
O que o silêncio regulatório amplificou
No dia 9 de abril de 2026, o escritório Schubert Jonckheer & Kolbe anunciou publicamente que a Mercor não havia notificado os procuradores gerais estaduais sobre a brecha, o que poderia constituir uma violação das leis de notificação de incidentes de vários estados. A Mercor não respondeu a solicitações de comentário. A Berrie AI, desenvolvedora do LiteLLM, também não. A Delve Technologies, a firma que havia certificado a conformidade regulatória da Berrie AI e que hoje enfrenta acusações de "conformidade falsa como serviço" por parte de um denunciante anônimo, também não respondeu.
O silêncio coordenado de três atores envolvidos em uma cadeia de falência é, em si mesmo, informação estratégica. Quando nenhuma parte fala, geralmente é porque nenhuma delas tem uma narrativa que resista ao escrutínio. O que resiste ao escrutínio são os fatos: uma firma de conformidade certificou a segurança de uma ferramenta que foi comprometida. Esse modelo de conformidade automatizada — onde se certifica sem auditar — é o GRC (governança, risco e conformidade) transformado em teatro.
Esse padrão tem consequências que vão além da Mercor. Se as certificações de segurança no setor de IA podem ser adquiridas sem corresponder a controles reais, então o mercado está operando com informação assimétrica estrutural. Clientes como Meta ou OpenAI tomam decisões de integração assumindo que seus fornecedores superaram auditorias genuínas. Quando essas auditorias são simbólicas, o risco não desaparece: redistribui-se para cima na cadeia até que um incidente o torne visível.
A Meta já absorveu essa redistribuição. A pausa indefinida de todos os seus contratos com a Mercor — incluindo os projetos de sua unidade de superinteligência artificial, TBD Labs — não é apenas uma decisão de gestão de riscos. É o sinal de que uma empresa com a sofisticação operacional da Meta não pode assumir que seus fornecedores possuem os controles que dizem ter. O custo dessa verificação, que a Meta delegou implicitamente à Mercor, agora se torna um custo interno que a Meta terá que absorver para qualquer fornecedor equivalente no futuro.
O modelo que sobrevive a suas próprias falhas
Existe uma diferença estrutural entre um negócio que cresce rapidamente porque externaliza seus riscos e um que cresce de forma sustentável porque os internaliza e os gerencia como parte de sua proposta de valor. A Mercor, com sua avaliação de 10 bilhões, representava a primeira categoria. A pergunta que o setor deve processar agora é se existe espaço comercial para a segunda.
A resposta é afirmativa, e há lógica de negócios por trás disso. Uma plataforma de treinamento de IA que classifique seus trabalhadores como empregados com proteção de dados garantida, que pague pelas ferramentas de infraestrutura que usa — ou contribua ativamente para sua manutenção —, e que submeta suas certificações de segurança a auditorias independentes genuínas, terá custos operacionais mais altos. Também terá um risco legal, reputacional e operacional significativamente menor. Em um setor onde um único incidente pode levar à pausa de contratos com os maiores clientes do mundo e desencadear ações coletivas em várias jurisdições, essa redução de risco tem um valor econômico quantificável.
O CEO da Y Combinator afirmou que os dados roubados representam um risco de segurança nacional. Se isso for verdade — e há razões para levar a sério — então o modelo de negócio que protege esses dados com certificações de papel não é apenas eticamente questionável. É estrategicamente inviável a médio prazo.
Os líderes que hoje estão construindo sobre infraestrutura de código aberto sem financiá-la, sobre trabalhadores independentes sem protegê-los, e sobre certificações de conformidade sem verificá-las, estão tomando uma decisão financeira: estão optando por margens mais altas hoje em detrimento de concentrar o risco em um evento futuro que, quando ocorrer, será seu problema exclusivo. A Mercor acabou de demonstrar quanto custa esse evento.
