AI 供應鏈漏洞：Mercor 數據洩漏事件揭示人工智慧訓練數據的脆弱性

引言：當 AI 訓練數據成為攻擊目標

2026 年 4 月初，AI 產業遭遇了一起重大安全事件。數據承包公司 Mercor 遭到網絡攻擊， potentially exposing 涉及 Meta、OpenAI 等頂尖 AI 實驗室的專有訓練數據。這一事件不僅導致 Meta 暫停與 Mercor 的所有合作項目，更引發了整个 AI 行業對供應鏈安全的深度擔憂。這起事件揭示了現代 AI 開發中一個曾被忽視的致命弱點：我們對第三方數據供應商的信任，可能成為整個產業的單點故障。

事件始末：LiteLLM 供應鏈攻擊

攻擊手法：從開源工具到後門植入

此次事件的根源在於開源 AI 網關工具 LiteLLM 的供應鏈攻擊。根據安全研究報告，威脅組織 TeamPCP 在 2026 年 3 月 24 日發布了兩個被後門化的 LiteLLM 版本（1.82.7 和 1.82.8）。攻擊者通過感染 LiteLLM 的 CI/CD 流水線，將惡意載荷注入合法軟體包中。

這些被感染的版本包含了一個三階段憑證竊取器，具備 Kubernetes 橫向移動和持久化後門能力。更具威脅的是，恶意代碼會在每次 LiteLLM 被啟動時執行，悄無聲息地竊取環境變數、API 密鑰、雲端憑證等敏感信息。研究人員指出，TeamPCP 這一攻擊活動涵蓋了 GitHub Actions、Docker Hub、npm、Open VSX 和 PyPI 等多個生態系統，是歷史上最複雜的多生態系統供應鏈攻擊之一。

Mercor 的角色與影響

Mercor 是一家估值達 100 億美元的 AI 初創公司，主要為 OpenAI、Anthropic、Meta 等 AI 實驗室提供訓練數據生成服務。該公司擁有龐大的contractor網絡，負責為大型 AI 實驗室創建專有的、高度機密的訓練數據集。這些數據通常被嚴格保密，因為它們是訓練出像 ChatGPT 和 Claude Code 這樣強大 AI 模型的核心配方。

Mercor 在 3 月 31 日向員工確認了安全事件，並表示「最近的安全事件影響了我們的系統以及全球成千上萬的其他組織」。更令人擔憂的是，一些受影響的承包商被告知其 Meta 項目被暫停，且無法record工作時數，實質上意味着他們可能失業。

Meta 的應對：立即暫停與全面調查

兩家媒體消息源向 WIRED 確認，Meta 已暫停與 Mercor 的所有合作項目，且這一暫停是無限期進行。虽然 OpenAI 尚未停止其現有項目，但該公司发言人.confirm 正在調查 Mercor 的安全事件，以評估其專有訓練數據可能如何被暴露。OpenAI 強調，此次事件「完全不影响 OpenAI 用戶數據」，但這并不能完全消除業界的担忧。

Meta 內部項目的代號管理更顯示出這一事件的嚴重性。在名為「Chordus」的 Meta 特定項目中（该项目旨在教導 AI 模型使用多個互聯網來源來驗證其對用戶查詢的回應），項目負責人告诉員工 Mercor 「正在重新評估項目範圍」。這種模糊的表態更加引發了外界對於數據是否已經泄露的猜測。

為什麼 AI 訓練數據如此敏感？

AI 實驗室對訓練數據如此敏感的原因在於：這些數據能够揭示競爭對手如何訓練其模型。包括中國在內的全球競爭者都在競相開發更強大的 AI 系統，任何關於模型訓練方法、數據來源、質量控制流程的信息泄露都可能為競爭對手提供寶貴的insights。

Mercor 及其競爭對手（如 Surge、Handshake、Turing、Labelbox 和 Scale AI）以對其服務內容極度保密而聞名。這些公司的 CEO 很少公開谈论具體工作，內部甚至使用代號來描述項目。這種保密文化凸顯了訓練數據作為競爭優勢的價值。

更廣泛的供應鏈風險隱患

TeamPCP 的攻擊不僅僅是一次孤立事件。根據安全公司 Recorded Future 的分析師 Allan Liska 的說法，「TeamPCP definitely 有經濟動機，但也可能有一些地緣政治因素」。该組織此前曾傳播名為「CanisterWorm」的數據擦除蠕蟲，針對默認語言為波斯語或時區設為伊朗的 vulnerable 雲端實例。

此次攻擊暴露了 AI 產業供應鏈中的結構性風險。AI 代理服務（AI gateways）集中了大量 API 密鑰和雲端憑證，成為供應鏈攻擊的高價值目標。當上游依賴被入侵時，這些集中的憑證就像「被入侵的保險庫」，讓攻擊者能夠橫向移動到更多系統。

技術細節：後門如何工作

according 安全研究報告，LiteLLM 被感染的版本採用了不同但同樣惡劣的方法來執行惡意代碼。竊取器被設計為：

1. 靜默竊取憑證：收集環境變數、API 密鑰、雲端存儲憑據
2. Kubernetes 橫向移動：利用 stolen 雲端憑證訪問 Kubernetes 集群
3. 持久化後門：確保即使修復漏洞，攻擊者仍能長期訪問
4. 廣泛影響範圍：由於 LiteLLM 被數千家公司使用，潛在受害者數量巨大

更令人擔憂的是，即使修復了漏洞，那些已經被感染的系統中已經植入的持久化後門仍可能被激活。

行業響應與未來挑戰

暫時應對措施

除了 Meta 暫停合作外，其他 AI 實驗室也正在重新評估與 Mercor 的合作關係。有消息稱，Anthropic 也在調查此次事件如何可能影響其自有數據。這種行業範圍的審查顯示了此次事件的嚴重性被廣泛認可。

長期供應鏈安全挑戰

這一事件引發了幾個關鍵問題：

1. 審查机制的缺失：AI 公司如何審核其數據供應商的安全實踐？
2. 開源依賴鏈的風險：我們過度依賴的開源工具是否經過充分的安全審計？
3. 事故響应的透明度：供應鏈攻擊是否有強制報告要求？答案令人遺憾——沒有。
4. 分散化 vs. 集中化風險：雖然使用眾多供應商可以分散風險，但如果共同依賴同一軟體組件，風險反而會集中。

教訓與建議

對於 AI 公司

1. 供應商安全審計：對所有第三方數據供應商進行常規安全評估，不僅是合同 уровня，而是要深入驗證其實際實踐
2. 依賴管理：建立嚴格的開源組件審計流程，特別是像 LiteLLM 這樣廣泛使用的基礎設施軟體
3. 網絡隔離：將不同項目的數據处理和訓練環境隔離，防止單一漏洞影響全部資產
4. 憑證管理：實行最小權限原則，定期輪換 API 密鑰和訪問憑證

對於整個行業

此次事件表明，AI 產業需要建立更成熟的供應鏈安全標準。正如 Trend Micro 研究指出，「AI 代理服務集中 API 密鑰和雲端憑證，使其在供應鏈攻擊中成為高價值 collateral」。

結論：信任但不能盲目依賴

Mercor 數據洩漏事件是一個 wake-up call。它告訴我們，即使是最先进的 AI 公司，也可能因第三方供應商的漏洞而陷入風險。隨著 AI 技術深入各行各业，保護訓練數據和供應鏈安全將成為與模型能力本身同等重要的競爭優勢。

正如 WIRED 總結的那樣，「AI 實驗室對這些數據如此敏感，因為它們可以揭示給競爭對手——包括美國和中國的其他 AI 實驗室——關於訓練模型方式的關鍵細節。」在當今全球 AI 競爭格局下， supply chain 安全不再是可選項，而是生存必需。

—

參考資源

深入分析文章：
– WIRED: “Meta Pauses Work With Mercor After Data Breach Puts AI Industry Secrets at Risk”
– Trend Micro: “Your AI Gateway Was a Backdoor: Inside the LiteLLM Supply Chain Compromise”
– The Hacker News: “TeamPCP Backdoors LiteLLM Versions 1.82.7-1.82.8”

教育視頻：
– [THE SILENT AI SUPPLY CHAIN COLLAPSE]() – 深入解析 Mercor 與 LiteLLM 攻擊事件
– [Supply Chain Attacks in AI | AI Hacking Explained]() – AI 供應鏈攻擊的防禦策略
– [AI Models Are Being Hacked — And Used to Hack You]() – AI 系統被攻擊的最新趨勢

安全研究報告：
– Phoenix Security: “LiteLLM Backdoored by TeamPCP: PyPI Supply Chain Attack”
– Palo Alto Networks Unit 42: “Weaponizing the Protectors: TeamPCP’s Multi-Stage Supply Chain Attack”