Mercor, një startup amerikan i specializuar në zhvillimin e aplikacioneve të inteligjencës artificiale për rekrutimin e ekspertëve, ka konfirmuar të martën se ka qenë viktimë e një sulmi kibernetik që lidhet me komprometimin e projektit open‑source LiteLLM, një bibliotekë softueri e përdorur gjerësisht në industrinë e AI. Incidenti nxjerr në pah rreziqet e përdorimit të komponentëve të njëjtë softuerik nga mijëra kompani në mbarë botën.
Mercor, e themeluar në 2023 dhe e vlerësuar rreth 10 miliardë dollarë, tha se është vetëm një nga shumë organizata të prekura nga sulmi. Kompania bashkëpunon me firma si OpenAI dhe Anthropic për të ndihmuar trajnimin e modeleve të inteligjencës artificiale, duke lidhur ekspertë nga fushat e shkencës, mjekësisë dhe së drejtës. Sulmi përfshinte injektimin e kodit të dëmshëm në paketat e shpërndara të LiteLLM përmes regjistrit Python (PyPI), duke krijuar mundësi për shpërndarje të malware ose për shfrytëzim të të dhënave. Grupet hakerike TeamPCP dhe Lapsus$ janë përmendur si të lidhur me incidentin, por Mercor nuk ka dhënë detaje të sakta për natyrën apo sasinë e informacionit të komprometuar. Përfaqësuesja e Mercor, Heidi Hagberg, tha se kompania ka reaguar shpejt për të kufizuar ndikimin e sulmit dhe po bashkëpunon me ekspertë të pavarur të sigurisë për një investigim të thelluar. Ajo theksoi se komunikimi me klientët dhe kontraktorët do të vazhdojë gjatë hetimit.
Incidenti ka ngjallur shqetësime në komunitetin e sigurisë kibernetike. Ekspertët theksojnë se përdorimi i gjerë i komponentëve open‑source në mjedise kritike të AI krijon rrezik të lartë në zinxhirin e furnizimit, pasi një komprometim i një biblioteke mund të ndikojë mijëra projekte njëkohësisht. Pak ditë pas zbulimit, LiteLLM ka hequr kodin e dëmshëm, por shqetësimi mbetet mbi efektet e mundshme afatgjata dhe mbi nevojën për protokolle sigurie më të forta. Duket qartë tensioni mes inovacionit të shpejtë në teknologjitë e inteligjencës artificiale dhe nevojës për kontrolle rigoroze sigurie. Për startup-et që mbështeten në komponentë të jashtëm, çdo komprometim i softuerit mund të sjellë rrezik për reputacionin dhe besueshmërinë e shërbimeve.
Discussion about this post