Seis meses atrás, a Mercor estava voando alto depois de arrecadar enormes US$ 350 milhões na Série C, que avaliou a startup de treinamento de dados de IA em US$ 10 bilhões. Mas depois de admitir, em 31 de março, que foi alvo de uma violação de dados, a empresa tem enfrentado muitos problemas.
Desde então, um grupo de hackers alegou ter obtido 4 TB de dados roubados dos sistemas da Mercor, incluindo perfis de candidatos, informações de identificação pessoal, dados de empregadores, código-fonte e chaves de API. A Mercor não comentou a autenticidade dos dados, reiterando apenas que está investigando e “continuará a se comunicar diretamente com nossos clientes e contratados conforme apropriado e a dedicar os recursos necessários para resolver o assunto o mais rápido possível”.
A Mercor disse que sua violação de dados foi resultado de um hack da ferramenta de código aberto LiteLLM. Esta ferramenta é tão popular que é baixada milhões de vezes por dia. Por 40 minutos, a ferramenta abrigou malware de coleta de credenciais – software nocivo que poderia roubar credenciais de login. Essas credenciais foram usadas para obter acesso a mais software e contas, que foram usadas para coletar mais credenciais e assim por diante.
Embora não tenha havido reconhecimento formal de quantos dados foram recolhidos da Mercor, houve repercussões mesmo assim. A Meta suspendeu seus contratos com a Mercor indefinidamente, disseram fontes à Wired. (A Mercor se recusou a comentar ao TechCrunch sobre isso.)
Como outras empresas contratadas de treinamento de dados de IA, a Mercor lida com alguns dos maiores segredos comerciais dos fabricantes de modelos: os conjuntos de dados personalizados e os processos que eles usam para ensinar seus modelos. Isto é tão importante para eles que mesmo depois de a Meta ter gasto 14,3 mil milhões de dólares na Scale AI, concorrente da Mercor, continuou a trabalhar com a Mercor.
Uma boa notícia para a Mercor (talvez… veremos): a OpenAI também confirmou à Wired que estava investigando sua exposição na violação da Mercor, mas disse que não havia pausado ou encerrado seus contratos na época. No entanto, o TechCrunch ouviu de várias fontes que outros grandes fabricantes de modelos também podem estar avaliando seus relacionamentos com a Mercor após a violação, embora ainda não tenhamos confirmado detalhes suficientes para citar nomes.
Entretanto, cinco dos empreiteiros da Mercor entraram com ações judiciais, segundo o Business Insider, sobre a sua alegada exposição de dados pessoais. Ainda não se sabe se esses processos representam uma ameaça séria ou são apenas oportunistas e um incômodo. (Mercor se recusou a comentar.)
Evento Techcrunch
São Francisco, Califórnia
|
13 a 15 de outubro de 2026
Um processo, analisado pelo TechCrunch, chegou a nomear LiteLLM e Delve como réus. Isso é selvagem, e talvez um exagero, mas aqui está a conexão: LiteLLM usou a startup de conformidade de IA Delve para obter suas certificações de segurança. Delve foi acusado por um denunciante anônimo de supostamente falsificar dados para certificações de segurança e usar auditores carimbadores.
Uma certificação de segurança não impede diretamente que hackers lancem ataques bem-sucedidos, mas visa garantir que as empresas tenham processos em vigor para minimizar tais ameaças.
Embora a Delve tenha negado essas alegações e, ao mesmo tempo, instituído mudanças operacionais, ela tem sido um mundo de sofrimento por si só, a ponto de a Y Combinator romper os laços com a empresa.
LiteLLM abandonou o Delve e agora está trabalhando com outra startup de conformidade com IA para obter novamente suas certificações de segurança. LiteLLM também publicou um relatório completo sobre o incidente de segurança.
Mas a própria Mercor não era cliente da Delve, confirmou a empresa ao TechCrunch. Se, no entanto, as consequências para a Mercor continuarem, muitas receitas poderão estar em jogo. A empresa estava a caminho de atingir mais de US$ 1 bilhão em receita anualizada no início deste ano, antes do vazamento de dados, disse uma fonte anônima ao The Information.
