A startup de recrutamento para inteligência artificial Mercor confirmou um incidente de segurança ligado a um ataque de cadeia de suprimentos envolvendo o projeto de código aberto LiteLLM. A empresa, que trabalha com nomes como OpenAI e Anthropic, foi uma das "milhares de empresas" afetadas pelo comprometimento do LiteLLM, vinculado a um grupo hacker chamado TeamPCP. A confirmação ocorre enquanto o grupo de extorsão Lapsus$ alega ter como alvo a Mercor e ter obtido acesso a seus dados.
Fundada em 2023, a Mercor facilita pagamentos diários superiores a US$ 2 milhões e foi avaliada em US$ 10 bilhões após uma rodada de financiamento de US$ 350 milhões liderada pela Felicis Ventures em outubro de 2025. A empresa contrata especialistas de áreas como direito, medicina e ciência em mercados como a Índia para treinar modelos de IA.
Resposta da empresa e alegações de vazamento
A porta-voz da Mercor, Heidi Hagberg, afirmou à TechCrunch que a empresa agiu "promptamente" para conter e remediar o incidente. "Estamos conduzindo uma investigação completa com o apoio de especialistas forenses terceirizados líderes", disse Hagberg. Ela se recusou a comentar se o incidente estava ligado às alegações do Lapsus$ ou se dados de clientes ou contratados foram acessados.
O grupo Lapsus$ reivindicou responsabilidade pelo aparente violação de dados em seu site de vazamentos e compartilhou uma amostra de informações supostamente obtidas da Mercor. A amostra revisada pela TechCrunch incluía referências a dados do Slack e de sistemas de *ticketing*, além de dois vídeos que mostrariam conversas entre os sistemas de IA da empresa e seus contratados.
O ataque ao projeto LiteLLM
O comprometimento do LiteLLM veio à tona na semana passada após a descoberta de código malicioso em um pacote associado ao projeto de código aberto da startup apoiada pela Y Combinator. O código foi identificado e removido em horas, mas o caso gerou preocupação devido ao uso massivo da biblioteca, baixada milhões de vezes por dia, segundo a empresa de segurança Snyk.
O incidente levou a LiteLLM a mudar seus processos de conformidade, trocando a startup Delve pela Vanta para certificações. Ainda não está claro quantas empresas foram afetadas pelo incidente relacionado ao LiteLLM ou se houve exposição de dados, já que as investigações continuam.
O caso ilustra os riscos de segurança em cadeias de suprimentos de software, especialmente em ecossistemas de código aberto amplamente adotados por empresas de tecnologia. A Mercor prometeu continuar a comunicação direta com clientes e contratados conforme apropriado para resolver o problema.