A Mercor, startup de recrutamento de especialistas em inteligência artificial, confirmou ter sofrido um incidente de segurança decorrente de um ataque à cadeia de suprimentos que comprometeu o projeto open-source LiteLLM.
Em comunicado enviado nesta terça-feira (31), a empresa informou que faz parte do grupo de “milhares de companhias” afetadas após a inserção de código malicioso no pacote mantido pela LiteLLM, iniciativa apoiada pela aceleradora Y Combinator. A ação é atribuída ao grupo de hackers TeamPCP.
No mesmo dia, o coletivo de extorsão digital Lapsus$ anunciou em seu site de vazamentos que obteve dados da Mercor. A organização publicou uma amostra contendo referências a conversas no Slack, registros de tickets e dois vídeos que mostrariam interações entre sistemas de IA da plataforma e contratados. Ainda não está claro como o Lapsus$ teve acesso às informações supostamente extraídas durante o ataque do TeamPCP.
Resposta da empresa
Heidi Hagberg, porta-voz da Mercor, afirmou que a companhia agiu rapidamente para conter a invasão e contratou peritos forenses independentes para investigar o caso. “Seguimos comunicando clientes e contratados diretamente, conforme apropriado, e dedicaremos os recursos necessários para resolver o assunto o quanto antes”, declarou.
Hagberg não respondeu se o incidente está ligado às alegações do Lapsus$ nem se houve acesso, exfiltração ou uso indevido de dados de clientes ou prestadores de serviço.
Brecha no LiteLLM
A vulnerabilidade no LiteLLM veio à tona na semana passada, quando pesquisadores encontraram código malicioso no pacote distribuído pela biblioteca, removido poucas horas depois. De acordo com a empresa de segurança Snyk, o LiteLLM é baixado milhões de vezes por dia. Após o episódio, os mantenedores anunciaram mudanças nos processos de conformidade, substituindo a startup Delve pela plataforma Vanta para certificações.
Imagem: Internet
Sobre a Mercor
Fundada em 2023, a Mercor conecta empresas como OpenAI e Anthropic a especialistas — médicos, cientistas, advogados — em países como a Índia para treinar modelos de IA. A startup processa mais de US$ 2 milhões em pagamentos diários e foi avaliada em US$ 10 bilhões após captar US$ 350 milhões em rodada Série C liderada pela Felicis Ventures, em outubro de 2025.
Até o momento, não há confirmação sobre o total de organizações afetadas pelo incidente relacionado ao LiteLLM, nem evidências de exposição de dados. As investigações prosseguem.
Com informações de TechCrunch
