Mercor 一名发言人本周向科技媒体 TechCrunch 证实，这家人工智能招聘初创公司近期遭遇一起与开源项目 LiteLLM 被攻破相关的供应链安全事件。

据该发言人介绍，Mercor 是“成千上万家公司中的一员”，受到此次 LiteLLM 项目安全事件的影响。此前，一个名为 TeamPCP 的黑客组织被指与 LiteLLM 项目遭入侵有关。与此同时，勒索黑客团伙 Lapsus$ 在其泄露网站上声称已针对 Mercor 发动攻击并获取了该公司系统中的数据。

目前尚不清楚 Lapsus$ 团伙如何在 TeamPCP 发起的网络攻击背景下获得与 Mercor 相关的数据。Mercor 发言人 Heidi Hagberg 表示，公司已“迅速采取行动”遏制并修复此次安全事件。

“我们正在进行由领先第三方取证专家支持的彻底调查，”Hagberg 在书面声明中称，“我们将继续根据情况直接与客户和承包商沟通，并投入必要资源，尽快解决此事。”

Hagberg 未回应后续提问，包括此次事件是否与 Lapsus$ 的声明直接相关，或是否有客户或承包商数据被访问、外泄或遭滥用。

Lapsus$ 此前在其网站上公布了据称从 Mercor 窃取的数据样本。TechCrunch 对这些样本进行了审查，内容包括与 Slack 数据和疑似工单数据相关的材料，以及两段据称显示 Mercor 人工智能系统与其平台承包商之间对话的视频。

公开信息显示，Mercor 成立于 2023 年，与包括 OpenAI 和 Anthropic 在内的公司合作，通过聘用来自印度等市场的科学家、医生和律师等专业人士，参与训练人工智能模型。该公司称，其平台每天促成的支付金额超过 200 万美元，并在 2025 年 10 月完成由 Felicis Ventures 领投的 3.5 亿美元 C 轮融资后，估值达到 100 亿美元。

与此次事件相关的 LiteLLM 项目安全问题最早于上周被披露。当时，在这家由 Y Combinator 支持的初创公司维护的开源项目相关软件包中被发现存在恶意代码。尽管相关代码在数小时内即被识别并移除，但由于 LiteLLM 在互联网上被广泛使用，此事引发外界关注。安全公司 Snyk 的信息显示，该库每天被下载数百万次。

在安全事件曝光后，LiteLLM 对其合规流程进行了调整，包括将合规认证服务从备受争议的初创公司 Delve 转移至 Vanta。目前尚不清楚有多少公司受到 LiteLLM 相关事件的影响，或是否已发生任何数据泄露，相关调查仍在进行中。