AI面試新創平臺Mercor遭供應鏈攻擊，傳言有臺灣企業受影響，已被否認

根據資安新聞網站SecurityWeek的報導，3月30日駭客組織Lapsus$在網站公布新的受害企業名單，當中包含AI面試新創平臺Mercor。駭客宣稱握有近4 TB的Mercor內部資料，其中原始碼有939 GB、包含AI訓練資料在內的資料庫檔案有211 GB，以及3 TB的其他檔案。另外，駭客強調取得該公司使用的TailScale VPN完整資料。

對此，4月1日Mercor於社群網站X發布推文表示，他們是其中一家受到LiteLLM供應鏈攻擊事故影響的公司，該公司的資安團隊迅採取行動因應，遏制攻擊活動並著手修復，並請求第三方鑑識專家支援調查。值得留意的是，Mercor並未進一步說明受影響的範圍，也沒有透露是否出現資料外洩的情況，他們只有提到，LiteLLM事故有數千家公司受到波及。

值得留意的是，TeamPCP為了將竊得的憑證與權杖等機敏資料換取經濟利益，他們開始與Lapsus$合作，這或許是Mercor強調遭受LiteLLM事故波及的原因。

事隔一週，4月8日律師事務所Schubert Jonckheer& Kolbe發出聲明，透露這起事故更多細節。他們提到，Mercor確實受到LiteLLM供應鏈攻擊事故影響，Lapsus$後續聲稱手上握有從Mercor竊得的4 TB資料。該事務所指出，外洩的資料可能涉及Slack交談內容、內部工單、Mercor人工智慧系統與平臺承包商之間的對話、個人可識別資訊、員工資料，以及原始碼、API金鑰、密鑰等科技資產。此外，目前Mercor尚未向美國政府通報此事。

值得留意的是，國內有網站指出，臺灣有多家企業採用Mercor而受到影響，該站聲稱，104與CakeResume證實有客戶資料受影響，而且有1家IC設計大廠、2家金融公司、3家電商平臺也受害。對此，我們也向一零四資訊科技和PChome網路家庭進行了解。一零四資訊科技表示，經盤點該公司與Mercor無資料庫串接，故本次事件對104客戶資料並無影響；PChome網路家庭表示並未導入或使用Mercor招募平臺，不受該平臺本身漏洞之直接影響。