Rekryteringsbolaget Mercor drabbas av angrepp via öppen källkod i AI-biblioteket LiteLLM

Rekryteringsbolaget Mercor säger att det drogs med i ett angrepp mot leverantörskedjan kopplat till ett öppet källkods-bibliotek för artificiell intelligens. Händelsen är en påminnelse om att den ”automatisering” som säljs in som modern och säker i praktiken ofta bygger på tredjepartskod som ingen på köparsidan granskar. Mercor uppger för TechCrunch att det var ”ett av tusentals företag” som påverkades när LiteLLM, ett vanligt verktyg för att styra förfrågningar till stora språkmodeller, komprometterades.

Enligt TechCrunch handlade LiteLLM-incidenten om att skadlig kod fördes in i ett paket kopplat till projektet. Den upptäcktes och togs bort inom några timmar. Men tidsfönstret spelade roll eftersom biblioteket laddas ned miljontals gånger per dag, enligt säkerhetsföretaget Snyk, och ligger i det rörsystem som många bolag behandlar som utbytbar mellanprogramvara. Mercor, grundat 2023, marknadsför sig som ett sätt för företag, däribland OpenAI och Anthropic, att i stor skala anställa och betala specialiserade uppdragstagare. Bolaget säger sig förmedla mer än 2 miljoner dollar i dagliga utbetalningar och värderades till 10 miljarder dollar efter en finansieringsrunda 2025.

För kunderna är den närmaste frågan inte om en enskild leverantör hade ”god säkerhetshygien”, utan hur många leverantörer som numera sitter inbyggda i grundläggande affärsprocesser som tidigare sköttes internt och utan dramatik. Rekrytering, personalärenden, introduktion av uppdragstagare och intern chatt kopplas i allt högre grad till verktyg för artificiell intelligens som i sin tur hämtar beroenden från offentliga kodförråd. När ett bibliotek som LiteLLM blir en standardkomponent kan en kompromettering uppströms ge åtkomst nedströms till arbetsytor i Slack, interna ärenden och loggar över arbetsflöden – uppgifter som är värdefulla även när de inte är ”kärnhemligheter”.

Incitamenten är besvärliga. Leverantörer av verktyg för artificiell intelligens säljer in arbetskraftsersättning och riskminskning: färre människor som läser känsligt material, färre manuella steg, färre misstag. Men den operativa verkligheten är en stapel av paket som förändras snabbt, täta utgåvor och tillåtande grundinställningar, där ett enda komprometterat beroende kan bli den enklaste vägen in i ett företag som annars lägger stora pengar på säkerhet. I en sådan miljö kan ”regelefterlevnad” bli en varumärkesövning: TechCrunch noterar att LiteLLM svarade med att ändra sina processer för regelefterlevnad, bland annat genom att byta från Delve till Vanta för sina intyg.

Det finns också ett ansvarsglapp. Mercor säger att det agerade snabbt för att begränsa och åtgärda händelsen och att det utreder med externa experter på digital kriminalteknik. Men bolaget ville inte säga om händelsen hade samband med ett utpressningsnätverks påstående att det kommit över Mercor-data, eller om kund- och uppdragstagardata hade nåtts eller förts ut. Det lämnar motparter att fatta beslut med ofullständig information: om man ska pausa kopplingar, byta inloggningsuppgifter, underrätta uppdragstagare eller betrakta det hela som en avgränsad skrämselhändelse.

Angreppsytan växer snabbast där affärsargumentet för automatisering är lättast att sälja: processer med stora volymer, mycket personuppgifter och många externa deltagare. En rekryteringsplattform som hanterar identitetshandlingar, betalningsuppgifter, arbetshistorik och privata meddelanden är inte ett sidoprogram; den är en koncentrationspunkt.

Den skadliga koden i LiteLLM togs bort inom några timmar. Den nedströms frågan är hur många företag som kommer att upptäcka att de var exponerade först efter att någon annan bevisar det.