AI独角兽Mercor证实遭入侵：开源项目LiteLLM被恶意注入代码

Mercor确认其开源项目 LiteLLM 遭遇供应链入侵，此次事件波及到包括数千家企业在内的下游生态，被视为近期AI基础设施安全领域的一起重大风险。

作为估值约100亿美元的人工智能招聘独角兽，Mercor于周二表示，其核心项目LiteLLM被植入恶意代码，疑与黑客组织TeamPCP有关。同时，勒索组织Lapsus$自称已窃取Mercor内部数据，并公开了包含Slack聊天记录、工单系统截图及AI系统对话视频的样本。当前，Mercor已聘请第三方取证团队介入，并迅速采取隔离与修复措施，但对Lapsus$的索赔细节仍未正面回应。

此次事件的焦点在于LiteLLM这一被高频使用的开源库。该项目日均下载量达百万级，旨在统一和简化对OpenAI、Anthropic等主流模型API的调用。尽管恶意代码在数小时内即被发现并移除，但由于其处在供应链上游、覆盖面广，已引发业内对开源工具合规与安全的深度反思。

为此，LiteLLM已紧急将合规审计与认证机构更换为Vanta。作为行业头部公司，Mercor的C轮融资约为3.5亿美元，且每天处理的支付规模超过200万美元。本次安全动荡折射出在高速扩张阶段，AI产业链底层安全的薄弱环节正成为影响模型研发与人才闭环的关键因素，行业亟需建立更严格的开源组件监测与预警机制。