Mercor, startup AI yang sedang naik daun di dunia perekrutan, baru-baru ini mengonfirmasi adanya insiden keamanan yang berkaitan dengan serangan rantai pasokan terkait proyek open-source, LiteLLM.
Dalam pernyataannya kepada TechCrunch pada hari Selasa, Mercor menyebutkan bahwa mereka adalah “salah satu dari ribuan perusahaan” yang terpengaruh oleh kompromi terbaru terhadap proyek LiteLLM, yang diduga terkait dengan kelompok peretas bernama TeamPCP. Pengesahan insiden ini muncul setelah kelompok peretasan yang dikenal sebagai Lapsus$ mengklaim telah menargetkan Mercor dan mendapatkan akses ke data mereka.
Saat ini belum jelas bagaimana kelompok Lapsus$ bisa mendapatkan data yang dicuri dari Mercor sebagai bagian dari serangan siber TeamPCP.
Didirikan pada tahun 2023, Mercor bekerja sama dengan perusahaan-perusahaan seperti OpenAI dan Anthropic untuk melatih model AI dengan merekrut ahli domain spesialis seperti ilmuwan, dokter, dan pengacara dari berbagai pasar, termasuk India. Startup ini mengklaim memfasilitasi lebih dari $2 juta dalam pembayaran harian dan memiliki valuasi mencapai $10 miliar setelah mengumpulkan $350 juta dalam putaran pendanaan Seri C yang dipimpin oleh Felicis Ventures pada bulan Oktober 2025.
Juru bicara Mercor, Heidi Hagberg, mengonfirmasi kepada TechCrunch bahwa perusahaan telah “bertindak cepat” untuk menanggulangi dan memperbaiki insiden keamanan ini.
“Kami sedang melakukan penyelidikan menyeluruh yang didukung oleh para ahli forensik pihak ketiga terkemuka,” kata Hagberg. “Kami akan terus berkomunikasi langsung dengan pelanggan dan kontraktor kami sesuai kebutuhan dan mengalokasikan sumber daya yang diperlukan untuk menyelesaikan masalah ini secepat mungkin.”
Sebelumnya, Lapsus$ mengklaim bertanggung jawab atas kebocoran data yang tampaknya terjadi di situs kebocoran mereka dan membagikan sampel data yang diduga diambil dari Mercor, yang telah ditinjau oleh TechCrunch. Sampel tersebut mencakup materi yang merujuk pada data Slack dan data tiket, serta dua video yang diduga menunjukkan percakapan antara sistem AI Mercor dan kontraktor di platform mereka.
Hagberg menolak untuk menjawab pertanyaan lanjutan mengenai apakah insiden ini terkait dengan klaim oleh Lapsus$, atau apakah ada data pelanggan atau kontraktor yang telah diakses, diekstraksi, atau disalahgunakan.
Kompromi terhadap LiteLLM awalnya terungkap minggu lalu setelah kode jahat ditemukan dalam paket yang terkait dengan proyek open-source yang didukung oleh Y Combinator. Meskipun kode jahat tersebut berhasil diidentifikasi dan dihapus dalam beberapa jam, insiden ini menarik perhatian karena penggunaan LiteLLM yang luas di seluruh internet, dengan perpustakaan tersebut diunduh jutaan kali setiap hari, menurut firma keamanan Snyk. Insiden ini juga mendorong LiteLLM untuk melakukan perubahan pada proses kepatuhan mereka, termasuk beralih dari startup kontroversial Delve ke Vanta untuk sertifikasi kepatuhan.
Saat ini, masih belum jelas berapa banyak perusahaan yang terkena dampak insiden terkait LiteLLM ini atau apakah ada paparan data yang terjadi, mengingat penyelidikan masih berlanjut.
