AI招聘新創公司遭LiteLLM供應鏈攻擊

AI招聘新創公司Mercor確認透過開源LiteLLM專案的妥協遭到入侵，一個勒索團伙聲稱對竊取公司資料負責。此次攻擊展示了廣泛使用的AI基礎設施專案中的漏洞如何在整個生態系統中造成連鎖安全風險。LiteLLM充當代理層，標準化不同AI供應商之間的API呼叫——使其成為有吸引力的基礎設施，但也成為攻擊者的高價值目標。

這次供應鏈攻擊突顯了AI開發中的一個關鍵盲點。隨著公司快速整合開源AI工具以加速部署，他們正在繼承來自可能缺乏企業級安全實務的專案的安全風險。LiteLLM作為中介軟體的角色意味著單一妥協可能會暴露多個下游應用程式及其資料。專門針對AI基礎設施的攻擊表明，攻擊者正在適應利用AI繁榮的匆忙採用模式。

雖然Mercor承認了這一事件，但關於存取的資料範圍或在LiteLLM中被利用的具體漏洞的詳細資訊仍然很少。該公司沒有揭露客戶資料、專有AI模型或招聘演算法是否受到妥協。這種不透明是典型的但無助——AI社群需要更清晰的事件揭露來理解和緩解整個生態系統中的類似風險。

對於使用LiteLLM或類似AI基礎設施專案的開發者來說，這一事件要求立即進行安全稽核。審查您的依賴鏈，實施適當的存取控制，並考慮將AI基礎設施與敏感資料儲存隔離。即插即用AI工具的便利性帶來了許多團隊沒有充分考慮的真正安全權衡。