Mercor与在借来的沙土上建造的代价
2026年3月31日,估值100亿美元的人工智能训练初创公司Mercor公开确认了早已在网络安全研究人员中流传的消息:它被通过集成于其基础设施中的开源工具LiteLLM攻击,导致约4TB的数据被外泄,其中包括939GB的平台源代码,211GB的用户数据库,近3TB的视频面试记录,身份验证文件,Slack内部通讯,以及4万多名独立承包商的个人信息(包括社保号码)。
不到一周时间,至少有五起集体诉讼在加州和德克萨斯州的联邦法院提起。Meta无限期暂停了与该公司的所有合同。MercorClaims.com几乎瞬间出现在互联网上。Lapsus$集团则在其泄露网站上拍卖被盗数据。
我今天要分析的不是攻击本身。尽管技术细节引人入胜,但背景故事对任何正在构建基于人工智能的业务的领导者更为重要。
攻击者到来之前的脆弱性如何构成
攻击的切入点是软件供应链攻击。TeamPCP小组利用了Trivy,一款开源安全扫描工具中的一个漏洞,以盗取维护者的凭证。借助这些凭证,攻击者侵入了被注册为CVE-2026-33634的两个版本的LiteLLM——这是一款每月下载量达9500万的人工智能网关。从这里,他们获得了对Mercor基础设施的横向访问权限。恶意LiteLLM版本在系统中活动了40分钟到3小时,足够造成损害。
AppOmni的首席信息安全官Cory Michal将其形容为“比提示注入攻击更有影响力的类别”,因为它在与模型进行任何对话之前就破坏了基础架构层。这不是对产品的攻击,而是对根基的攻击。
问题在于,Mercor建立了一个价值100亿美元的价值主张,依赖的是一项它未能控制、未能资助,并且根据诉讼还没有严格审计的关键依赖项。LiteLLM是免费的开源工具,Mercor没有为其付费,只是利用了该工具。等到其出现故障时,Mercor则承受了所有损失。
这并不是Mercor独有的问题。这是整个行业运营模式的缩影。人工智能训练初创企业建设在开放工具的层面上,以减少短期变动成本。但这种成本的降低,实际上是将风险转移到链条下游,转移给自愿维护者、独立承包商,而当系统故障时,风险又转移到4万名社保号码在地下市场流通的工人身上。
价值100亿美元下隐藏的掠夺性模型
Mercor在人工智能数据标注及训练领域运营,主张连接独立承包商(法律术语下的承包商)与Meta、OpenAI、Anthropic和谷歌等企业,以协助这些模型所需的人类反馈任务。实质上,这是一种应用于技术经济最具战略性部分的碎片化工平台。
Y Combinator的首席执行官表示,泄露的数据意味着“数十亿美元的价值”和国家安全风险,因为其中包含数据选择标准、标注协议和前沿强化训练策略。这样说并不夸张。这些信息在错误的手中,是构建竞争模型的直接竞争优势。
但我们从内部观察一下结构:创造这些价值的承包商——他们的面试录音、W-9表格和与人工智能系统的对话被盗——是没有标准劳动保护的独立工人。他们提供生物特征数据、税务信息和认知工作时长,获取的是按单支付的费用。当系统故障时,受损失最重的是他们:身份被暴露,Meta暂停合同造成收入中断,如今还要面对身份风险缓解的费用,原告在法庭文件中将其量化为直接损失。
NaTivia Esson,作为一名原告,在2025年3月至2026年3月期间为Mercor工作。她提交了含有个人信息的W-9表格。如今,为了提供公司未能提供的身份保护服务,她不得不自掏腰包。这在具体的运营层面所意味着的就是一个风险外包至链条最弱环节的模型。
使得100亿美元估值成为可能的金融架构要求高盈余。碎片化工作平台的高利润部分源于将工人分类为独立承包商——省去大多数作为员工时必备的福利、保险与数据保护成本。这种结构性节省恰恰让数据漏洞成为法律灾难:由于没有正式的劳动关系,公司可以在不承担对这些敏感信息所要求的监管责任的情况下,继续访问这些信息。
监管沉默所放大的影响
2026年4月9日,Schubert Jonckheer & Kolbe律师事务所公开宣布,Mercor并未向多个州的检察官通报数据泄露,这可能构成了对各州通知事件法律的违反。Mercor未有对此请求发表评论。LiteLLM的开发者Berrie AI也未作回应。Delve Technologies,曾对Berrie AI合规性进行认证的公司,如今因一名匿名举报者声称其实施“虚假合规为服务”而面临指控,同样没有回应。
三方参与者在这一失败链条中的协调沉默,反过来成为了战略性信息。当没有一方发声时,通常是因为没有一方拥有能够经受审查的叙事。而能经受审查的真实情况是:一家合规认证公司认证了不安全的工具。这样的自动化合规模式——在未审计的情况下进行认证——就如同治理、风险与合规(GRC)被变成了一场戏剧。
这种模式的后果超出了Mercor。如果人工智能领域的安全认证可以在没有真实控制的情况下获得,那么市场就处在一种结构性不对称信息的状态。诸如Meta或OpenAI的客户在进行整合时,以为他们的供应商已经通过了真正的审计,而当这些审计只是象征性的,风险并不会消失,而是重新分配,直到事件显现出来。
Meta已经承担了这种风险的重新分配。停止与Mercor的所有合同(包括其超级人工智能部门TBD Labs的项目)不仅是风险管理的决策,它还标志着一家公司不能轻易假设其供应商具备所声称的控制措施。Meta凭借对这些控制措施的隐性委托所产生的核查成本,如今也成为Meta未来必须吸收的内部费用。
生存于自身缺陷中的模型
外包风险的快速增长和持续管理风险的企业之间存在结构性差异。Mercor以100亿美元的市值代表了第一类。今天行业需要思考的问题是,是否存在商业空隙来容纳第二类。
答案是肯定的,背后有逻辑。一家将工人界定为享有数据保护保障的员工的人工智能训练平台,支付其所使用的基础设施工具费用,或者积极参与其维护,并将其安全认证交由真正独立的审计机构审核,必然会产生更高的运营成本。与此同时,法律、声誉和运营风险也会显著降低。在一个仅一个事件就可能导致暂停与全球最大客户的合同,并在多个司法管辖区引发集体诉讼的行业中,这种风险降低具有可计算的经济价值。
Y Combinator的首席执行官指出,被盗数据代表着国家安全风险。如果这是真实的,那么用纸面认证来保护这些数据的商业模型不仅在伦理上值得怀疑,而且在中期内战略上不可行。
今天那些在没有资助基础设施的开源软件上,利用没有保护的独立工人和未核实的合规性认证构建业务的领导者,正在做出一个财务上的决策:他们选择今天更高的利润,而将风险集中在未来的事件上,而当这发生时,这个事件将成为他们独具的问题。Mercor刚刚展示了这个事件的代价有多高。
对于高层管理者来说,任务明确:审计他们的估值有多少部分依赖于不受控的依赖关系,无保护的劳动者,以及未经核实的合规性。如果他们的商业模型利用人力和共享基础设施仅仅作为低成本的输入来为股东创造价值,那么他们就能知道在这种模式下还能维持多长时间。
