帮OpenAI和Anthropic训练AI的公司被黑，4TB数据正在暗网上被拍卖

Anthropic 的 Claude Code 源代码泄漏事件余波未平，另一场事故又接踵而至了。

但 Claude Code 事故纯属自己人手滑，虽然尴尬，好歹没有外部攻击者介入。而这次的主角 Mercor 就没这么幸运了，它遭遇了一场由黑客组织精心策划的多层供应链攻击。攻击者沿着软件依赖关系的信任链条一路向下，从开源安全工具打到 AI 基础设施，再打进企业内网，最终把这家估值 100 亿美元、为 OpenAI 和 Anthropic 等头部实验室提供数据标注服务的独角兽翻了个底朝天。

4 月 1 日，Mercor 在社交媒体发布声明，确认自己是 LiteLLM 供应链攻击事件中“数千家受影响企业之一”，表示安全团队已迅速介入遏制和修复，并聘请了第三方取证专家展开调查。

图丨相关推文（来源：X）

但 Lapsus$ 这边已经开始叫卖了。这个臭名昭著的黑客组织在暗网泄密站点上声称对此次攻击负责，挂出了一场“实时拍卖”：4TB 数据，价高者得。

据 Cybernews 和 TechCrunch 等媒体的梳理，Lapsus$ 声称通过 Mercor 的 Tailscale VPN 窃取了全部数据，其中包括 939GB 的平台源代码、一个超过 211GB 的用户数据库，以及约 3TB 的存储桶内容，里面装着大量视频面试录像和身份验证材料，包括承包商的护照扫描件和证件照。

TechCrunch 审查了 Lapsus$ 公开的部分样本，发现其中包含 Slack 通讯记录、工单系统数据，以及两段据称展示 Mercor AI 系统与承包商对话的视频。

图丨被拍卖的数据（来源：X）

Mercor 发言人 Heidi Hagberg 拒绝回答后续问题，包括此事是否与 Lapsus$ 的声明有关，以及客户或承包商数据是否已被访问、外泄或滥用。社交媒体上流传的更多泄漏样本还出现了疑似 Mercor 客户的内部代号：Amazon、Athena、Aphrodite、Meta、Apple。其中 Athena 和 Aphrodite 被认为是某些客户的项目代号。如果属实，泄漏范围可能远不止 Mercor 自身。

从目前的公开信息来看，Mercor 并不是被 Lapsus $ 直接入侵的，这起事件的源头要追溯到一场规模大得多的级联式供应链攻击。

3 月 19 日，开源漏洞扫描工具 Trivy（由 Aqua Security 维护）的 CI/CD 流水线被一个名为 TeamPCP 的黑客组织攻破。攻击者利用此前一次安全事件中未完全轮换的凭证，劫持了 Trivy GitHub Actions 中 76 个版本标签，把受信任的版本引用悄悄指向了恶意提交。

植入的 payload 是一个信息窃取器，能从构建环境中收割环境变量、云凭证、SSH 密钥等敏感信息，加密后外传到攻击者控制的服务器。由于正常的 Trivy 扫描仍然会在恶意代码执行后照常运行，很多用户看到的是正常输出，根本察觉不到凭证已经被偷走了。

3 月 23 日，TeamPCP 用同样的手法攻破了 Checkmarx 的 KICS 代码扫描工具。3 月 24 日，攻击蔓延到 LiteLLM，这是一个极其流行的开源 LLM API 代理库，为开发者提供统一接口来调用 OpenAI、Anthropic、Bedrock 等 100 多个大模型服务。

TeamPCP 利用从 Trivy 攻击中窃取的 CI/CD 凭证，直接在 PyPI 上发布了被投毒的 LiteLLM 1.82.7 和 1.82.8 版本。恶意包上线约 40 分钟后被 PyPI 安全团队隔离，但这 40 分钟已经足够。

LiteLLM 每月有近 1 亿次下载量。任何在那个窗口期通过 pip 安装或更新了 LiteLLM 且未锁定版本的项目，都可能中招。ReversingLabs 的分析指出，LiteLLM 作为 AI 基础设施的通用代理层，天然集中管理着大量 API 密钥和云凭证，一旦被攻破就成了理想的感染中枢。

Wiz 的安全研究人员表示，他们观察到被窃凭证“被迅速验证并用于探索受害者环境、外泄更多数据”。而在协作层面，事情还在升级：据 Palo Alto Networks 旗下 Unit 42 的分析，TeamPCP 目前正与 Lapsus $ 以及勒索软件团伙 CipherForce、Vect 合作，共同泄漏数据并实施敲诈。TeamPCP 甚至声称将向数十万用户发送邀请，让尽可能多的人加入对受害企业的勒索行列。

Mercor 是第一家公开确认受此轮攻击影响的下游企业，但几乎可以确定不会是最后一家。在上周的 RSA 大会上，Google 旗下 Mandiant 的咨询 CTO Charles Carmakal 对记者表示，Mandiant 已知超过 1,000 个 SaaS 环境正在“积极应对”TeamPCP 供应链攻击的连锁影响。

他说这 1,000 多个下游受害者的数字，可能还会再扩大 500、1,000，甚至 10,000，“我们知道这些攻击者正在与其他多个团伙合作。”威胁情报组织 vx-underground 的估计数据窃贼已经从约 50 万台机器上外泄了数据和密钥。

Cisco 也没能置身事外。有报道称 TeamPCP 通过 Trivy 攻击中窃取的凭证入侵了 Cisco 的内部开发环境并窃取了源代码，Cisco 随后对 The Register 表示已“意识到正在影响整个行业的 Trivy 供应链问题”，并“迅速启动了评估”。但 Cisco 两次拒绝回答一个直接问题：是否有任何 Cisco 系统被攻击者访问过？

回看整个攻击链，DreamFactory CTO Kevin McGahey 概括称：TeamPCP 执行的是一场“从安全工具到 AI 基础设施的系统性升级攻击”。先攻陷安全扫描器，这类工具在 CI/CD 流水线中以高权限运行，组织对其有着隐性的充分信任；收割凭证；再用这些凭证去投毒下游的 AI 基础设施。Trivy 是安全工具，LiteLLM 是 AI 代理层，Mercor 是终端企业，攻击者沿着依赖关系的信任链条逐层突破，每一步都在利用上一步拿到的凭证。

对 Mercor 来说，泄漏的后果可能相当持久。超过 3 万名承包商的身份验证资料可能已经暴露，视频面试中录制的面部表情、声音和行为信号是没法像密码一样重置的生物特征数据。已经有律所宣布正在调查针对 Mercor 的集体诉讼。

而对于那些同样依赖 LiteLLM 的企业来说，紧急安全审计恐怕才刚刚开始。攻击窗口虽然只有 40 分钟，但通过传递性依赖扩散出去的感染面到底有多大，目前仍然未知。

参考资料：

1.https://www.theregister.com/2026/04/02/mercor_supply_chain_attack/

2.https://x.com/AlvieriD/status/2038779690295378004

运营/排版：何晨龙