AI-startup Mercor ramt af cyberangreb gennem åben kildekode-projekt

AI-rekrutteringsstartup Mercor har bekræftet at være offer for et cyberangreb, efter at en ekstortionshackergruppe har gjort krav på at have kompromitteret virksomhedens systemer. Ifølge TechCrunch stammer angrebet fra en sårbarhed i det åbne kildekode-projekt LiteLLM, som bruges til at administrere store sprogmodeller.

Sagen illustrerer en stigende tendensudfordring inden for AI-industrien: afhængighed af åbne kildekode-komponenter uden tilstrækkelig sikkerhedskontrol. Når tusindvis af virksomheder benytter samme biblioteker, bliver sårbarheder i disse projekter potentielt katastrofale på tværs af hele økosystemet.

Åben kildekode som sikkerhedskritisk svaghed

LiteLLM er en populær Python-bibliotek, som simplificerer integrationen af API'er til kunstig intelligens. Det benyttes af utallige virksomheder til at køre AI-modeller i deres applikationer. En enkelt sårbarhed i sådan et projekt kan derfor potentielt give hackere adgang til systemer hos hundredvis af virksomheder.

Mercor-angrebet understreger, at selv højteknologiske virksomheder med fokus på AI kan være sårbare overfor klassiske sikkerhedsbrud. Hackergruppen bag angrebet forsøger nu at tvinge Mercor til at betale løsepenge ved at true med at offentliggøre stjålne data.

Alarmerende trend blandt startups

Episoden afspejler en bredere tendens, hvor især startups ofte prioriterer hastighed og funktionalitet over grundig sikkerhedshærdning. Ved at bygge på åbne kildekode-projekter spares udviklingtid, men omkostningen kan være alvorlig, hvis der ikke implementeres ordentlig overvågning og patching af sårbarheder.

For Mercor og lignende virksomheder bliver næste skridt kritisk: transparens over for påvirkede brugere og implementering af forbedret sikkerhed. Branchen må også få øje på behovet for bedre standarder omkring sikkerhedsaudits af populære åbne kildekode-komponenter.