Startup Mercor confirma ataque cibernético ligado a projeto open source LiteLLM
Mercor confirma incidente de segurança após ataque à cadeia de suprimentos do LiteLLM
A startup de recrutamento baseada em inteligência artificial, Mercor, divulgou um incidente de segurança que comprometeu seus sistemas, em decorrência de um ataque à cadeia de suprimentos envolvendo o projeto open source LiteLLM. A confirmação veio após o grupo de hackers extorsionistas Lapsus$ reivindicar a autoria do ataque e alegar ter obtido dados da empresa.
Contexto do ataque e envolvimento do LiteLLM
O LiteLLM é um projeto open source amplamente utilizado, com milhões de downloads diários, segundo a empresa de segurança Snyk. Na semana anterior, foi detectado código malicioso em um pacote associado ao LiteLLM, que foi removido em poucas horas. Apesar da rápida resposta, o incidente chamou atenção pela abrangência do uso da biblioteca e pelas possíveis consequências para várias empresas, incluindo a Mercor.
Detalhes sobre a Mercor e impacto do ataque
Fundada em 2023, a Mercor atua no treinamento de modelos de IA, contratando especialistas de diversas áreas como ciência, medicina e direito, com forte presença em mercados como a Índia. Entre seus clientes estão grandes nomes como OpenAI e Anthropic. A startup movimenta mais de US$ 2 milhões em pagamentos diários e foi avaliada em US$ 10 bilhões após uma rodada de investimento Série C de US$ 350 milhões liderada pela Felicis Ventures em outubro de 2025.
Segundo a porta-voz Heidi Hagberg, a empresa agiu rapidamente para conter e remediar o incidente, contando com o apoio de especialistas forenses terceirizados. A Mercor mantém comunicação direta com seus clientes e colaboradores, dedicando recursos para solucionar a questão o quanto antes.
Reivindicação do grupo Lapsus$ e dados vazados
O grupo Lapsus$ assumiu a responsabilidade pelo vazamento em seu site de divulgação, compartilhando amostras dos dados supostamente obtidos. Entre os arquivos divulgados, estavam dados de conversas no Slack, informações de tickets e vídeos que mostram interações entre os sistemas de IA da Mercor e seus contratados.
Apesar disso, a Mercor não confirmou se houve acesso, exfiltração ou uso indevido de dados de clientes ou colaboradores, tampouco se o ataque está diretamente conectado ao Lapsus$ além das reivindicações públicas.
Medidas de conformidade e investigações em andamento
Após o incidente, o LiteLLM implementou mudanças em seus processos de conformidade, abandonando a startup Delve em favor da Vanta para certificações de compliance. Ainda não está claro quantas empresas foram afetadas ou se houve exposição significativa de dados, já que as investigações continuam em curso.
Implicações práticas para o mercado de IA e segurança
Este episódio evidencia os riscos envolvidos na cadeia de suprimentos de software open source, especialmente em projetos amplamente adotados em setores sensíveis como inteligência artificial. Para startups como a Mercor, que lidam com dados críticos e clientes de alta relevância, a segurança cibernética e a resposta rápida a incidentes são essenciais para minimizar impactos e preservar a confiança do mercado.