假日特辑 | AI巨头的离奇黑客入侵案

近期AI领域的热点事件层出不穷，围观群众纷纷表示目不暇接。

ClaudeCode源代码泄露的风波尚未平息，又一桩重磅新闻接踵而至。明星AI企业Mercor遭遇黑客全面入侵，其影响之深远，堪比Claude code事件。

2023年，Brendan Foody、Adarsh Hiremath与Surya Midha三位创始人获得Peter Thiel的“泰尔奖学金”支持，从哈佛和乔治城大学休学，共同创立了AI招聘平台Mercor。该公司主要为AI模型提供高质量的训练数据服务，业务模式与Scale AI相似但更偏向高端领域，招募了众多医生、律师、金融专家等专业人士参与AI优化。

2025年6月，Meta以143亿美元投资其竞争对手Scale AI，导致OpenAI、谷歌终止与Scale AI的合作，Mercor因此承接了大量外溢订单，实现迅猛增长：11个月内年收入从100万美元跃升至1亿美元，17个月后突破5亿美元；同年10月完成3.5亿美元C轮融资，估值达到100亿美元，平台管理着3万名外包人员，每日支付金额超过150万美元。其数据库中储存了大量精英人士的身份资料、工作经历、面试录像等敏感信息。

Mercor的业务规模在几年内实现了巨大飞跃，但在业务暴增的情况下，公司仍在沿用创业初期选择的流行“组网工具”——Tailscale。

简单来说，Tailscale就像一个为所有设备建立的加密“内部群聊”。无论服务器位于旧金山的高级数据中心，还是印度某处简陋的工作室，只要安装了Tailscale，就能实现直接互联。其优势在于配置极其简便，上手迅速，非常适合这种“人员精简、资金充裕、发展迅猛”的初创公司。

然而，潜在的风险在于安全机制过于单一。一旦有人获取了这个“内部群聊”的加入密钥，就能在整个内网中畅通无阻，随意访问任何资源。显然，处于高速成长期的Mercor尚未充分重视其安全问题。

这个“Tailscale”，成为了后续一系列灾难中的关键“多米诺骨牌”。

惊天魔盗团？不，是“锁匠”被暗中动了手脚！

发动此次攻击的黑客组织名为TeamPCP。

现实中高明的黑客，更像是精通“社会工程学”的专家，或是极具耐心的“狩猎者”。他们通常不会费力撬锁，而是会思考：能否在锁匠的工具箱里做点手脚？

为了帮助理解这次攻击的巧妙手法，以下内容更像是一堂黑客技术普及课：

那么，攻击者是如何得逞的呢？他们没有直接攻击目标系统，也没有入侵快递柜，而是先做了一件出人意料的事——他们“策反”了保安公司的巡逻员！

具体的攻击过程，如同一部精彩的悬疑片：

第一步：对“保安”下手（3月19日）

TeamPCP盯上了一款名为Trivy的开源安全扫描工具。这款工具非常流行，相当于数字世界的“保安队长”，专门检查代码是否存在漏洞。黑客悄悄篡改了Trivy在GitHub上的发布标签，在其中植入了一段“窃取数据”的恶意代码。这意味着，从此刻起，任何使用这个被污染的新版Trivy的用户，其各类密码和密钥都会在不知不觉中流向黑客。

换句话说，你请来检查门锁的保安，其实是个“内贼”。

第二步：让“保安队长”也沦陷（3月23日）

采用相同手法，TeamPCP又攻陷了另一款安全检测工具Checkmarx KICS。连“保安队长”都被拿下，为接下来的“大戏”铺平了道路。

第三步：攻破“智能快递柜”（3月24日）

最致命的一击来临。这次的目标是LiteLLM。

LiteLLM究竟是什么？简单来说，它是一个“通用AI控制器”。开发者学会使用它后，就能一键调用OpenAI、谷歌、Anthropic等上百家公司的AI模型，无需分别学习各家的复杂操作。这款工具极其受欢迎，据统计每日下载量超过300万次，36%的云环境中都能找到它的身影。

现在，关键问题来了：这个“通用AI控制器”（LiteLLM），与已被下毒的“保安”（Trivy），有何关联？

答案是：LiteLLM每次发布新版本时，都有一套自动化的“打包流水线”。

又到了打包环节，上次Claude code源码泄露事件也是打包过程出的问题！一家人工智能公司为何在这个环节屡屡犯错，实在令人费解。

而这条流水线中，恰好邀请了Trivy这位保安进行安全检查！更糟糕的是，LiteLLM没有指定使用哪个版本的保安，而是要求“用最新版就行”。

显然，这是任何开发者都不应犯的错误，怎能随意使用某个版本？

于是，悲剧上演了。这条自动流水线兴高采烈地拉来了那个已被下毒的Trivy新版本进行安检。结果，这位“内鬼保安”在检查过程中，顺手窃取了LiteLLM发布到“Python官方软件商店”（PyPI，相当于苹果的App Store）所需的密码！

想象一下：快递柜自己开发了一个App上架到软件商店，结果前来审核的保安，偷走了它更新App的管理员密码。

黑客利用偷来的密码，再加上盗取的LiteLLM创始人账号，堂而皇之地登录了“软件商店”，上传了两个包含“后门”的LiteLLM恶意版本（版本号1.82.7和1.82.8）。

这个后门一旦安装到服务器上，会执行三项“任务”：

这两个恶意版本在PyPI（Python官方软件包仓库）中仅存在了几个小时就被下架。但就在这短暂的时间里，已足以让全球众多自动更新的公司中招。

最后：致命一击终于到来

Mercor的系统会自动拉取最新版本的软件。在那个致命的时间窗口内，它恰好自动下载并安装了那个被污染的LiteLLM。

后门一经启动，立刻在Mercor的服务器内展开疯狂的数据窃取。而同一台服务器上，还安静地运行着之前提到的“组网神器”——Tailscale。Tailscale为了保持连接，会在本地保存认证信息。

结果可想而知。Tailscale的“万能门禁卡”，很可能也被这个来者不拒的后门，当作普通“战利品”一并打包传回给黑客。

还记得吗？Mercor所有的服务器、数据库、存储桶，都通过Tailscale连接在一个“内部群聊”里。现在，黑客拿到了这个“内部群聊”的加入密钥。

Mercor的大门，就这样从内部被打开了。

事后，曾攻击过微软、英伟达、三星的知名勒索组织Lapsus（此次与TeamPCP联手）得意地宣称，他们正是利用这种方法，如入无人之境般接入Mercor的内网，随后展开了一场“不讲规则”的“数据搬运”行动。

整整4TB的数据，就这样悄无声息地被盗走。

看到这里，有网友在X上发出了灵魂质问：“一家年收入5亿美元的公司，你们的安全预算，难道还不如前台小姐姐的咖啡机值钱吗？”

Lapsus在暗网拍卖的4TB数据包括：

Mercor已证实自己是LiteLLM供应链攻击的受害者之一，并启动了第三方取证调查，但未正面回应Lapsus关于数据的主张。

Mercor存储了大量求职者的视频面试录像、护照扫描件、面部与声音数据。

试想一下，密码泄露可以修改，银行卡被盗可以挂失。但是，你的面容呢？你的声纹呢？你的指纹呢？这些生物识别数据，将伴随你一生！

一旦这些数据流入黑市，后果不堪设想。骗子可以利用你的脸和声音，骗过人脸识别系统，解锁你的手机，冒充你与家人视频通话……

这是一种永久性的身份盗用风险。想想都令人不寒而栗。

此外，对于任何互联网公司而言，安全措施平时或许感觉不到它的存在，但当你真正需要它时，往往为时已晚！