A Mercor, startup de treinamento de dados para inteligência artificial avaliada em US$ 10 bilhões, enfrenta uma crise de confiança e uma série de processos judiciais após admitir, em 31 de março, ter sido vítima de um vazamento massivo de dados. O incidente, que ocorreu há seis meses de sua bem-sucedida rodada de financiamento de US$ 350 milhões, já resultou na suspensão de contratos com grandes empresas de tecnologia e na exposição de informações sensíveis de clientes e contratados.
O ataque explorou uma vulnerabilidade de 40 minutos na ferramenta de código aberto LiteLLM, amplamente utilizada e baixada milhões de vezes ao dia. Durante esse período, a ferramenta continha um malware que roubou credenciais de acesso, permitindo que os hackers invadissem sistemas subsequentes. Um grupo de hackers afirma ter obtido 4 terabytes de dados da Mercor, incluindo perfis de candidatos, informações pessoais identificáveis, dados de empregadores, código-fonte e chaves de API.
Contratos bilionários em risco
A repercussão comercial foi imediata. Fontes ouvidas pela revista Wired confirmaram que a Meta suspendeu indefinidamente seus contratos com a Mercor. A empresa, que também é cliente da concorrente Scale AI – na qual a Meta investiu US$ 14,3 bilhões –, confiava à Mercor o manuseio de alguns de seus maiores segredos comerciais: os conjuntos de dados personalizados e processos usados para treinar seus modelos de IA.
Em um sinal um pouco mais positivo, a OpenAI informou à Wired que está investigando sua exposição no vazamento, mas, até o momento, não interrompeu ou encerrou seus contratos com a Mercor. No entanto, o TechCrunch apurou com múltiplas fontes que outras grandes desenvolvedoras de modelos de IA também estariam reavaliando seus relacionamentos com a startup após o incidente.
Processos judiciais e ramificações do caso
Cinco contratados da Mercor já moveram ações judiciais contra a empresa, conforme reportado pelo Business Insider, alegando exposição de seus dados pessoais. Uma dessas ações, analisada pelo TechCrunch, nomeia também a LiteLLM e a startup de compliance em IA Delve como réus, em uma tentativa de ampliar a responsabilidade pelo ocorrido.
A conexão alegada é que a LiteLLM utilizou os serviços da Delve para obter suas certificações de segurança. A Delve, por sua vez, foi acusada por um denunciante anônimo de falsificar dados para obter certificações e usar auditores que apenas "carimbavam" os processos. A Mercor confirmou ao TechCrunch que não era cliente da Delve.
Em meio ao escândalo, a Y Combinator, famosa aceleradora de startups, rompeu publicamente seus laços com a Delve. A LiteLLM, por sua vez, descontinuou a parceria com a Delve e está trabalhando com outra empresa para reobter suas certificações, além de ter publicado um relatório completo sobre o incidente de segurança.
Impacto financeiro e futuro incerto
O prejuízo financeiro para a Mercor pode ser significativo. Uma fonte anônima disse ao The Information que, antes do vazamento, a empresa estava a caminho de superar US$ 1 bilhão em receita anualizada. A empresa se limitou a declarar que "continua investigando e continuará a se comunicar com nossos clientes e contratados diretamente, conforme apropriado, e dedicará os recursos necessários para resolver a questão o mais rápido possível", sem comentar a autenticidade dos dados vazados ou os processos judiciais.
O caso expõe a fragilidade na cadeia de segurança de empresas de tecnologia que lidam com dados sensíveis e a complexidade de responsabilização quando ferramentas de código aberto e terceirizadas estão envolvidas em brechas de segurança.