最近AI圈子里有趣的事情一个接一个，作为吃瓜群众的叔已经应接不暇了。

前几天ClaudeCode源码泄露闹得沸沸扬扬，这波热潮还没褪去，这不又来了大瓜。网红AI公司Mercor近日被黑客从头到尾端了库，影响之大，和Claude code事件有得一拼！

一、故事主角：Mercor的崛起与业务模式

2023年，Brendan Foody、Adarsh Hiremath、Surya Midha三位创始人从哈佛和乔治城大学辍学，在Peter Thiel的“泰尔奖学金”支持下创立AI招聘平台Mercor。为AI模型提供高端训练数据服务（类似Scale AI），招募了大量医生、律师、金融从业者等专家参与AI调优，和Scale AI相比属于高端服务。

2025年6月，Meta以143亿美元入股竞争对手Scale AI，引发OpenAI、谷歌终止与Scale AI合作，Mercor承接溢出订单实现爆发式增长：11个月年营收从100万美元增至1亿美元，17个月突破5亿美元；同年10月C轮融资3.5亿美元，估值达100亿美元，平台管理3万名承包商，日均支付超150万美元。其 数据库存储大量精英人群的身份信息、履历、面试视频等敏感数据。

二、供应链攻击的“多米诺骨牌”

Mercor的业务量在短短几年里发生了翻天覆地的变化，在暴增的业务量下还在继续使用创业初期的选的很火的“组网神器”——Tailscale。

这玩意儿简单说就是给你所有的设备拉一个加密的“微信群”。不管你的服务器是在旧金山的豪华机房，还是在印度某个小作坊里落灰，只要装上 Tailscale，就能像面对面一样直连。好处就是，配置巨简单，上手巨快，特别适合这种“人少钱多速来”的高速成长型公司。

但潜在的问题是安全锁只有一把，钥匙也只有一个。 一旦有人搞到了你这个“微信群”的入群密钥，那他就能在你的整个内网里“横着走”，想去哪儿就去哪儿，想看啥就看啥。显然创业高速发展期间的Mercor还没来得及考虑它的安全问题！

这个“Tailscale”，接下来，它会成为整场灾难的“多米诺骨牌”里，最关键的那一张。

惊天魔盗团？不，是“锁匠”被下毒了！

发动这次攻击的黑客组织叫TeamPCP。

不知道大家对黑客攻击了解多少，现实中的高级黑客，更像是一个“社会工程学”大师，或者一个极其有耐心的“猎手”。正常来说不会费劲去撬你家的大门，而是会去琢磨：你家锁匠用的工具箱里，有没有被我下毒的可能？

打个通俗的比方，帮助你们理解这次攻击的“骚操作”，下面内容更象是一个黑客普及教程：

• Mercor= 你家。里面藏着你所有的金银珠宝（数据）。

• LiteLLM= 你家的“智能快递柜”。它负责帮你从各大商场（比如OpenAI、谷歌的AI模型）取货，你把API密钥（也就是你家快递柜的密码）存在它那儿。

• Trivy= 你家请来的“保安公司的巡逻员”。它每天都拿着一本《小偷特征大全》，在你家和快递柜之间巡逻，看看有没有安全隐患。

• TeamPCP= 一伙顶级骗子。

那么，骗子是怎么得手的呢？他们没有去撬你家的锁，也没有去黑快递柜的系统，而是先干了一件匪夷所思的事——他们把保安公司的巡逻员给“策反”了！

具体作案过程，就像一部精彩的悬疑剧：

第一步：给“保安”下药（3月19日）

TeamPCP盯上了一个叫 Trivy的开源安全扫描工具。这玩意儿非常流行，相当于数字世界的“保安队长”，专门检查代码里有没有漏洞。黑客们偷偷篡改了Trivy在GitHub上的发布标签，往里塞了一段“偷东西”的恶意代码。什么意思呢？从这一刻起，谁要是用了这个被下毒的新版Trivy，他的各种密码和密钥，就会像流水一样，悄无声息地被传回给黑客。

换句话说，你家请来检查门锁的保安，其实是个“贼”。

第二步：把“保安队长”也拉下水（3月23日）

同样的手法，TeamPCP又干掉了另一个安全检测工具 Checkmarx KICS。连“保安队长”都沦陷了，这为接下来的“大戏”铺平了道路。

第三步：攻陷“智能快递柜”（3月24日）

最致命的一击来了。这次的目标是 LiteLLM。

这个LiteLLM是个什么东东？简单说，它是一个“万能AI遥控器”。开发者只要学会用它，就能一键调用OpenAI、谷歌、Anthropic等上百家公司的AI模型，不用再为每家都学一套复杂的操作方法。这玩意儿非常火爆，据统计每天有300多万次下载，36%的云环境里都有它的身影。

现在，关键问题来了：这个“万能AI遥控器”（LiteLLM），跟已经被下毒的“保安”（Trivy），有啥关系呢？

答案是：LiteLLM每次发布新版本的时候，都会有一个自动化的“打包流水线”。

又到了打包环节了，上次Claude code源码泄露的事件就是打包的锅！一个人工智能公司为啥一到这个环节就容易变成了人工智障！叔也想不明白。

而这条流水线里，刚好就请了Trivy这个保安来做安全检查！更要命的是，LiteLLM没有指定要用哪个版本的保安，而是说“来个最新的就行”。

显然上面这步就是任何一个搞开发的都不应该犯的错，哪能随便使用某个版本！难不成是某东方大国的程序员。

于是，悲剧发生了。这条自动流水线高高兴兴地拉来了那个已经被下毒的Trivy新版本，让它做安检。结果，这个“内鬼保安”在安检过程中，顺手就把LiteLLM通往“Python官方软件商店”（PyPI，相当于苹果手机的App Store）的发布密码给偷走了！

想象一下：快递柜自己搞了个App上架到软件仓库，结果来帮忙做审核的保安，偷走了它更新App的管理员密码。

黑客拿着偷来的密码，再加上他们盗取的LiteLLM创始人的账号，大摇大摆地登录了“软件仓库”，上传了两个藏着“后门”的LiteLLM恶意版本（版本号1.82.7和1.82.8）。

这个后门安装进服务器后，会干三件“好事”：

1. 翻箱倒柜：先把服务器上所有的SSH密钥（就是你远程登录的“门钥匙”）、云平台密码、各种API密钥，反正值钱的东西，一股脑全打包偷走。

2. 横向扩散：利用偷来的钥匙，在公司内部的服务器集群里“串门”，从一台机器跳到另一台机器，跟鬼子进村似的。

3. 留个“老鼠洞”：装一个超级隐蔽的“持久化后门”，确保即使被发现了，他们还能像老鼠一样，顺着这个洞再溜回来。

这两个恶意版本在PyPI（Python 官方软件包仓库）里只挂了几个小时，然后就被下架了。但就这么点时间，已经足够让全球无数自动更新的公司中招了。

最后：问题终于来了-雷霆一击

Mercor的系统，会自动拉取最新版本的软件。在那个致命的时间窗口里，它刚好就自动下载并安装了那个被下了毒的LiteLLM。

后门一启动，立刻在Mercor的服务器里开始了狂欢大扫荡，见什么偷什么。而就在同一台服务器上，还安安静静地住着咱们之前提到的那个“组网神器”——Tailscale。Tailscale为了能随时连接，会在本地保存认证信息。

结果可想而知。Tailscale的“万能门禁卡”，大概率也被这个不挑食的后门，当成普通“零食”给一起打包传回了给黑客。

还记得吗？Mercor所有的服务器、数据库、存储桶，都是通过Tailscale串在一个“微信群”里的。现在，黑客拿到了这个“微信群”的入群密钥。

Mercor家的大门，就这样被从内部打开了。

事后，那个之前干过微软、英伟达、三星的著名勒索组织 Lapsus（他们这次跟TeamPCP联手了）得意洋洋地声称，他们就是用这种方法，像逛自家后院一样，轻松接入了Mercor的内网，然后开始了一轮“不讲武德”的“搬仓鼠”行动。

整整4TB的数据，就这么被悄无声息地搬走了。

看到这里，有网友在X上问了一个灵魂拷问：“ 一家年营收5亿美金的公司，请问你们的安全预算，是不是还没有前台小姐姐的咖啡机贵啊？”

三、泄露数据详情

Lapsus在暗网拍卖的4TB数据包括：

• 939GB源代码：Mercor平台核心代码及API密钥；

• 211GB用户数据库：候选人简历、个人身份信息、AI评估分数及客户合同；

• 3TB存储数据：视频面试录像、护照/驾照扫描件、Slack通讯记录、内部工单及承包商与AI系统的对话视频；

• 客户项目信息：疑似包含Amazon、Meta、Apple等客户的内部项目代号（如Athena、Aphrodite）。

Mercor证实为LiteLLM供应链攻击受害者之一，已启动第三方取证调查，但未正面回应Lapsus的数据声明。

四、影响

Mercor存了大量的求职者的视频面试录像、护照扫描件、面部和声音数据。

这是一种永久性的身份盗用风险。想想都后背发凉。

此外，对于任何一家互联网公司来说， 安全是你平时用不到，等到你用到它的时候，就已经迟了！