في واقعة هزّت صناعة الذكاء الاصطناعي، تعرضت شركة Mercor، المزود الرئيسي لبيانات تدريب النماذج، لاختراق كبير أسفر عن سرقة نحو 4 تيرابايت من البيانات الحساسة. يشمل ذلك شفرة المصدر، قواعد بيانات المستخدمين، وتسجيلات مقابلات فيديو. وقد أعلنت مجموعة القراصنة Lapsus$ مسؤوليتها عن الهجوم على الويب المظلم وعرضت البيانات للبيع.
كيف حدث الاختراق؟
استهدف القراصنة مكتبة بايثون الشهيرة LiteLLM من خلال نشر نسختين مخترقتين على PyPI بعد اختراق Trivy، ماسح أمني مفتوح المصدر، للحصول على بيانات الدخول لمطور المكتبة. تم اكتشاف النسختين الضارين وإزالتهما خلال أربعين دقيقة فقط، لكن الضرر وصل بالفعل إلى Mercor، التي كانت تتعامل مع Meta، OpenAI، Anthropic، وGoogle.
تأثير الاختراق على صناعة الذكاء الاصطناعي
- Meta علقت جميع مشاريعها مع Mercor على الفور.
- OpenAI وGoogle يقيّمان الخسائر ويواصلون التحقيقات، بينما لم يعلق Anthropic.
- تكمن المخاطر الأكبر في كشف طرق التدريب وأسرار بروتوكولات التصنيف والاختيار، وليس البيانات الشخصية فقط.
- قد يؤدي تسرب بيانات التدريب إلى تعريض نماذج ChatGPT وClaude وGemini وLlama لأخطار استراتيجية وتجارية.
تداعيات أمنية مستقبلية
تقدّر فرق الأمن أن مجموعة TeamPCP قد سرقت بيانات من 500,000 جهاز خلال سلسلة الهجمات، وتخطط لمشاركة البيانات مع مجموعات ابتزاز، في سيناريو مشابه لحملة MOVEit في 2023.
تعليقات: (0) إضافة تعليق