一场开源组件失守，牵出 AI 招聘独角兽的安全软肋

Mercor 这次出事，表面上看是一起普通的网络安全新闻：一家估值百亿美元的 AI 招聘公司承认遭遇攻击，源头与开源项目 LiteLLM 被植入恶意代码有关；另一边，臭名昭著的勒索与敲诈黑客团伙 Lapsus$ 也跳出来“认领战果”，声称已经拿到了 Mercor 的数据。

但如果把镜头拉远一点，这件事远不止“某公司被黑”这么简单。它更像是当下 AI 创业浪潮的一次刺耳提醒：你可以把模型做得更聪明，把融资故事讲得更性感，把估值抬到 100 亿美元，可一旦底层依赖里混进一段恶意代码，整条业务链都可能在几小时内失去安全感。

被攻击的不是一家明星公司，而是一整条 AI 工业流水线

Mercor 成立于 2023 年，做的是这两年最火、也最容易被忽视的生意之一：为 AI 公司和大模型训练项目输送专业人才。它连接的不是普通众包工人，而是科学家、医生、律师这类高专业度人群，帮助 OpenAI、Anthropic 等公司完成数据标注、评测、训练反馈等任务。Mercor 自己披露，它每天处理的付款规模超过 200 万美元。换句话说，这家公司不是在卖一个漂亮的 AI Demo，而是在支撑 AI 产业背后的“人工基础设施”。

也正因为如此，它遭遇安全事件，影响面天然比普通 SaaS 公司更复杂。TechCrunch 看到的泄露样本里，包含与 Slack 数据相关的材料、工单数据，以及两段据称展示 Mercor 平台上 AI 系统与承包方对话的视频。如果这些内容最终被证实属实，那问题就不仅仅是“公司内部信息外流”，还可能涉及客户项目协作流程、承包方身份信息、业务运转逻辑，甚至影响模型训练相关的数据边界。

Mercor 的发言人表示，公司已经迅速采取了遏制和修复措施，并请来第三方法证机构调查。这个回应本身没问题，属于标准且必要的危机公关动作。但真正让人心里发紧的是另一句话：Mercor 称自己只是“成千上万家受影响公司之一”。这意味着，LiteLLM 这次被攻破，很可能不是一个点状事故，而是一次典型的供应链安全外溢。

AI 世界最危险的地方，往往写着“开源免费”

LiteLLM 是一个被广泛使用的开源项目，核心价值很实际：帮开发者更方便地调用不同的大模型接口，相当于 AI 应用层的一种“通用转接头”或“网关工具”。谁都想少写点重复代码，所以它下载量极高。根据安全公司 Snyk 的说法，这个库每天的下载量达到数百万次。

问题就在这里。今天的 AI 创业公司，几乎没有谁是从零开始搭系统的。大家一边接 OpenAI、Anthropic、Google 或其他模型，一边再套上各种开源中间层、代理层、日志层、缓存层、评测层。整个堆栈看起来现代、高效、灵活，像搭乐高一样优雅。可安全研究人员早就反复提醒过：乐高搭得越快，越得确认每一块积木是谁给你的。

LiteLLM 的恶意代码据报道在被发现后数小时内就被移除，反应不算慢。但这并不意味着损失就很小。供应链攻击最麻烦的地方，不是“木马放了多久”，而是“有多少系统已经默默装了进去”。一旦一个流行开源包被污染，攻击者拿到的不是一家公司，而是一张潜在客户名单。过去几年，从 SolarWinds 到 3CX，再到 npm、PyPI 生态里的各种投毒事件，都是同一条剧本：先碰最不起眼的上游，再看下游企业一家家中招。

AI 行业只是把这个老问题放大了。因为这个行业更新太快，大家对“先跑起来”的偏爱远远大于“先审清楚”。许多创业公司会花大钱买 GPU、请研究员、抢客户，却未必会用同样的认真程度检查依赖包签名、构建流程隔离、密钥权限边界和异常出站流量。说得不客气一点，很多 AI 公司在安全成熟度上，仍然像 2018 年的高速生长 SaaS 团队，只不过接口换成了大模型。

Lapsus$ 又出现了，事情也因此更不安

这次事件里另一个令人不舒服的名字，是 Lapsus$。这个团伙在科技行业并不陌生，过去就曾对多家知名公司发动攻击，风格非常张扬，既爱炫耀，也擅长利用企业内部管理松散、身份验证薄弱等问题。它和传统那种“潜伏数月再精准打击”的高级持续性攻击组织不同，某种程度上更像一支高噪音、快进快出的年轻化犯罪团伙，但破坏力并不因此减弱。

目前还不清楚，Lapsus$ 所声称拿到的 Mercor 数据，究竟是如何与 TeamPCP 针对 LiteLLM 的攻击链条产生关联。两者是前后接力、情报转手，还是只是“蹭热点式认领”，现在都没有定论。Mercor 也拒绝进一步说明这起事件是否与 Lapsus$ 的说法直接相关，更没有确认客户或承包方数据是否被访问、导出或滥用。

这种信息空白，本身就是企业安全事件中最常见、也最让人焦虑的时刻。公司通常不愿在调查结束前说太多，怕说错、怕扩大责任、也怕影响合规与诉讼；但客户和合作方最想知道的，偏偏就是“我的数据有没有事”。从传播角度看，这几乎是一个无解的尴尬区间。可在 AI 行业里，这种尴尬会被进一步放大，因为很多业务数据不只是表格和邮件，还可能涉及模型提示词、评测内容、人机交互记录，乃至敏感的专业领域信息。

这件事为什么重要：AI 的信用，正在被基础设施细节决定

如果把 2023 到 2025 年看作 AI 应用大爆炸的前半场，那么 2026 年开始，行业正在进入另一个更现实的阶段：拼的不再只是模型能力和商业化速度，还有治理能力、合规能力，以及最容易被低估的安全能力。

Mercor 的特殊之处在于，它连接的是企业客户、AI 系统和大量分布式承包方。这样的公司天然处在多重信任关系的交叉点。一端是 OpenAI、Anthropic 这样的顶级客户，另一端是来自印度等市场的专业工作者，中间还要处理付款、任务分发、对话记录、工作流协作。任何一个安全漏洞，都可能让三方信任一起受损。对于一家高估值创业公司来说，融资故事里最难讲的从来不是增长，而是“你是否值得被长期托付”。

更深一层看，这起事件也让一个行业争议再次浮上水面：AI 基础设施究竟该多大程度依赖开源？开源当然是创新加速器，没有它，就没有今天如此繁荣的 AI 开发工具链。但开源项目的维护者常常资源有限，安全审计、发布流程、供应链签名、合规认证都需要成本。商业公司把开源包接进核心生产系统，省下了开发时间，却未必把相应的安全投入补上。这种“把公共道路当高速专线跑，但不想交养路费”的模式，早晚会出问题。

LiteLLM 在事件后已经调整合规流程，并从曾引发争议的 Delve 转向 Vanta 做合规认证。这说明开发者社区和创业公司都开始意识到，安全与合规不再只是锦上添花的销售材料，而是产品能否继续进入企业市场的门票。不过，换一家合规服务商并不等于安全问题彻底解决。真正的考验，还是发布链路是否可验证、依赖更新是否最小权限、内部是否默认“开源也要零信任”。

我更关心的是，接下来会不会有更多公司承认受到影响。Mercor 既然说自己只是“数千家之一”，那大概率还有一批企业仍在低调排查，甚至还没意识到自己已经踩雷。很多供应链攻击最可怕的地方，就在于它不会第一时间制造巨大爆炸，而是像沙子进了齿轮，先让系统轻微异响，再慢慢暴露深层磨损。

对创业公司来说，安全不是成本中心，而是生存能力

过去几年，科技行业特别爱讲“速度就是一切”。这句话在产品竞争中没错，但在安全问题上，速度常常是有利息的。你今天省掉的一次代码审计、一次依赖锁定、一次第三方渗透测试，明天都可能以更难看的方式补回来。

Mercor 这次遭遇，不会是最后一次。随着 AI 应用越来越深入招聘、金融、医疗、法律、教育等高敏感行业，攻击者只会更愿意盯着这些“增长快、系统杂、接口多”的新贵公司下手。因为他们知道，真正值钱的，不只是数据库里的个人信息，还有企业工作流、组织协作内容、模型交互上下文，以及那些可以被用来继续横向渗透的身份凭证。

对用户和客户来说，这件事也提供了一个朴素但重要的判断标准：别只看一家 AI 公司能不能把演示做漂亮，也要看它出了事之后是否透明、是否能快速隔离风险、是否愿意为基础设施投入真金白银。技术行业有时迷恋“颠覆”，但最终留下来的公司，往往不是最会喊口号的，而是最能稳稳托住复杂系统的那一批。

说到底，AI 行业正在从“会做模型”迈向“会运营现实世界”。而现实世界从来不奖励侥幸。