Meta Suspende Parceria com Mercor Após Vazamento de Dados que Ameaça Segredos da Indústria de IA
A Meta anunciou a suspensão indefinida de todos os seus projetos em parceria com a Mercor, uma startup fornecedora de dados para treinamento de modelos de inteligência artificial, após a confirmação de um grave incidente de segurança que pode ter exposto dados sensíveis da indústria.
Contexto do Incidente de Segurança
A Mercor, que atua como contratante de dados para grandes laboratórios de IA como OpenAI e Anthropic, confirmou em 31 de março um ataque cibernético que afetou seus sistemas, além de milhares de outras organizações globalmente. A empresa utiliza uma extensa rede de colaboradores humanos para gerar conjuntos de dados proprietários e personalizados, utilizados no treinamento de modelos como ChatGPT e Claude.
Esses dados são altamente sigilosos, pois revelam detalhes estratégicos sobre os métodos de treinamento de IA, que são essenciais para a competitividade no setor. A exposição dessas informações pode beneficiar concorrentes, tanto nos Estados Unidos quanto na China.
Reações e Medidas das Empresas Envolvidas
A Meta optou por pausar imediatamente o trabalho com a Mercor até que a investigação sobre o vazamento seja concluída. Fontes indicam que outros laboratórios importantes da área também estão reavaliando suas relações com a startup para entender o alcance do problema.
Embora o OpenAI não tenha interrompido seus projetos atuais com a Mercor, confirmou estar investigando o incidente para avaliar possíveis exposições de seus dados proprietários. A empresa também garantiu que os dados dos usuários não foram afetados.
Anthropic não se pronunciou oficialmente até o momento.
Impactos para Colaboradores e Projetos
Contratados da Mercor que atuavam em projetos da Meta foram informados de que não poderão registrar horas de trabalho até que as atividades sejam retomadas, o que pode resultar em paralisação temporária para esses profissionais. A Mercor está buscando realocar esses colaboradores em outros projetos para minimizar o impacto.
Um dos projetos afetados é o Chordus, uma iniciativa da Meta voltada para melhorar a capacidade dos modelos de IA em verificar informações de múltiplas fontes na internet.
Detalhes Técnicos do Ataque
O ataque foi atribuído a um grupo denominado TeamPCP, que comprometeu duas versões da ferramenta LiteLLM, uma API de IA utilizada por várias empresas. A invasão faz parte de uma série de ataques à cadeia de suprimentos que têm crescido nos últimos meses.
Embora um grupo chamado Lapsus$ tenha reivindicado a autoria do ataque e oferecido para venda grandes volumes de dados supostamente roubados da Mercor, especialistas indicam que o verdadeiro responsável é provavelmente o TeamPCP, com o nome Lapsus$ sendo usado por diversos atores criminosos na dark web.
Relevância para o Setor de IA e Segurança
Este incidente destaca a vulnerabilidade das cadeias de fornecimento de dados para treinamento de IA, que dependem de fornecedores terceirizados e redes de colaboradores humanos. A confidencialidade desses dados é crucial para manter a vantagem competitiva das empresas no desenvolvimento de modelos avançados.
Especialistas em segurança apontam que grupos como o TeamPCP têm motivações financeiras, mas também podem estar envolvidos em ações de cunho político, como disseminação de worms destrutivos em ambientes de nuvem com configurações específicas.