Mercor, startup de treinamento de IA avaliada em R$60 bilhões, enfrenta crise após um mega vazamento de dados ligado a uma ferramenta open source. Descubra o impacto em contratos com gigantes como Meta e OpenAI.
Seis meses atrás, a Mercor, startup de treinamento de dados para inteligência artificial, celebrava um investimento colossal de R$2,1 bilhões em sua Série C, catapultando sua avaliação para R$60 bilhões. Hoje, a empresa enfrenta uma tormenta sem precedentes após admitir, em 31 de março, ter sido alvo de um ataque cibernético massivo, desencadeando um efeito dominó que abala seus parceiros e levanta sérias questões sobre a segurança na cadeia de suprimentos da IA.
O incidente, que teria exposto 4 terabytes de dados sensíveis, incluindo perfis de candidatos, informações pessoais identificáveis (PII), dados de empregadores, códigos-fonte e chaves de API, transformou a ascensão meteórica da Mercor em um cenário de incertezas. A crise não só ameaça a reputação e o futuro financeiro da empresa, que visava faturamento anualizado de R$6 bilhões, mas também reacende o debate sobre a resiliência de projetos open source e a integridade das certificações de segurança no ecossistema de tecnologia.
O que está acontecendo
A Mercor confirmou que a origem de sua violação de dados foi um ataque à ferramenta de código aberto LiteLLM. Extremamente popular, com milhões de downloads diários, o LiteLLM hospedou por cerca de 40 minutos um malware de coleta de credenciais — um software malicioso que rouba dados de login. Essas credenciais foram então utilizadas para acessar outros softwares e contas, permitindo que os invasores coletassem ainda mais informações em uma cadeia de comprometimento.
Desde a admissão do ataque em 31 de março, um grupo de hackers reivindicou a posse de 4TB de dados roubados dos sistemas da Mercor. A startup não se pronunciou sobre a autenticidade dos dados, limitando-se a reiterar que está investigando o incidente e se comunicará diretamente com clientes e contratados, dedicando os recursos necessários para resolver a questão o mais rápido possível.
A conexão com o LiteLLM levou a uma investigação mais profunda. O LiteLLM havia utilizado a startup de conformidade de IA Delve para obter suas certificações de segurança. A Delve, por sua vez, foi acusada por um denunciante anônimo de supostamente forjar dados para certificações e usar auditores complacentes, o que gerou uma crise de reputação que culminou com o Y Combinator cortando laços com a empresa. Embora a Delve tenha negado as acusações e implementado mudanças operacionais, o episódio destaca a fragilidade do processo de certificação.
É importante notar que a Mercor não era cliente direto da Delve, mas foi impactada indiretamente pela cadeia de confiança. O LiteLLM, por sua vez, abandonou a parceria com a Delve e agora busca novas certificações de segurança com outra startup de conformidade de IA. A empresa também publicou um relatório completo sobre o incidente de segurança.
Enquanto as investigações avançam, cinco contratados da Mercor já entraram com ações judiciais devido à suposta exposição de seus dados pessoais. Um desses processos, revisado pelo TechCrunch, chega a nomear LiteLLM e Delve como réus, expandindo a controvérsia legal para além da Mercor.
Por que isso importa
As repercussões do vazamento já são evidentes e podem ter um impacto significativo no mercado de IA. A Meta, por exemplo, pausou seus contratos com a Mercor por tempo indeterminado, segundo fontes da Wired. Essa decisão é um golpe duro, considerando que empresas como a Mercor lidam com segredos comerciais cruciais para os desenvolvedores de modelos de IA, como conjuntos de dados personalizados e processos de treinamento. A importância estratégica da Mercor para a Meta era tanta que, mesmo após um investimento de R$85,8 bilhões na concorrente Scale AI, a Meta continuou a trabalhar com a Mercor.
Embora a OpenAI tenha confirmado à Wired que está investigando sua exposição no vazamento da Mercor, ela afirmou não ter pausado ou encerrado seus contratos até o momento. No entanto, o GranaBit apurou com múltiplas fontes que outros grandes desenvolvedores de modelos de IA também estão reavaliando seus relacionamentos com a Mercor, embora detalhes suficientes não tenham sido confirmados para nomear essas empresas.
A crise não se limita à Mercor. O incidente levanta questões sérias sobre a segurança de projetos open source amplamente utilizados e a confiabilidade das certificações de conformidade. Uma certificação de segurança não impede ataques diretamente, mas visa garantir que as empresas possuam processos robustos para minimizar tais ameaças. O caso Delve, com acusações de falsificação, abala a confiança em todo o sistema de auditoria, essencial para a segurança da tecnologia moderna.
Destaques e números
- Avaliação Recorde: A Mercor alcançou uma avaliação de R$60 bilhões (US$10 bilhões) após um investimento de R$2,1 bilhões (US$350 milhões) na Série C há seis meses.
- Volume do Vazamento: Hackers afirmam ter roubado 4 terabytes de dados, incluindo informações sensíveis de candidatos, empregadores, códigos-fonte e chaves de API.
- Impacto no LiteLLM: A ferramenta open source LiteLLM, com milhões de downloads diários, hospedou malware de coleta de credenciais por 40 minutos, desencadeando o ataque à Mercor.
- Crise de Contratos: A Meta pausou indefinidamente seus contratos com a Mercor, apesar de ter investido R$85,8 bilhões (US$14,3 bilhões) na concorrente Scale AI e ainda assim manter parcerias com a Mercor.
- Monitoramento da OpenAI: A OpenAI está investigando sua exposição ao vazamento, mas não pausou ou encerrou contratos com a Mercor até o momento.
- Ações Legais: Cinco contratados da Mercor entraram com processos judiciais devido à exposição de dados pessoais.
- Receita Potencial Ameaçada: Antes do vazamento, a Mercor estava a caminho de atingir R$6 bilhões (US$1 bilhão) em receita anualizada.
- Crise de Conformidade: A startup Delve, que certificou o LiteLLM, teve laços cortados com o Y Combinator após acusações de falsificação de dados para certificações de segurança.
O que observar daqui pra frente
A Mercor enfrenta um caminho árduo para recuperar a confiança de seus parceiros e do mercado. A gestão das ações judiciais e a negociação para reativar contratos importantes, como o da Meta, serão cruciais para sua sobrevivência e reputação. A capacidade da empresa de demonstrar transparência e fortalecer suas defesas cibernéticas será posta à prova. Além disso, a validade e a integridade das certificações de segurança, especialmente para ferramentas open source, estarão sob escrutínio intensificado, com players como o LiteLLM buscando novas parcerias para reestabelecer a confiança.
Este episódio serve como um alerta para toda a indústria de IA e tecnologia, destacando a complexidade e os riscos inerentes à cadeia de suprimentos de software, onde uma falha em um elo, mesmo que indireto, pode ter consequências devastadoras para gigantes do setor. A forma como a Mercor, LiteLLM e Delve lidam com as consequências moldará as práticas futuras de segurança e conformidade em um ecossistema cada vez mais interconectado.
Hashtags: #data #breach #10B #valued #startup #Mercor #month #GranaBit #Tecnologia #Inovação #Startups #MercadoDigital
Curtiu essa matéria do GranaBit? Compartilhe com sua rede e acompanhe as inovações que estão moldando o futuro.
Fonte: techcrunch.com (Adaptação: GranaBit)
