عصابة ابتزاز سرقت 4 تيرابايت من شركة توظيف تعمل بالذكاء الاصطناعي. جاء الهجوم عبر أداة لم يكن أحد يراقبها.

Mercor شركة ناشئة في التوظيف بالذكاء الاصطناعي. مهمتها تقييم المرشحين باستخدام الذكاء الاصطناعي. شيفرتها المصدرية، وبيانات مرشحيها، وبنيتها التحتية — 4 تيرابايت منها — سُرقت على يد عصابة ابتزاز نفذت من خلال مشروع مفتوح المصدر مخترَق يُدعى LiteLLM. وتقول Mercor إنها كانت "واحدة من آلاف" الشركات التي ضُربت بالطريقة نفسها.

إليك ما حدث. أداة يعتمد عليها آلاف شركات الذكاء الاصطناعي لتوجيه الاستدعاءات بين نماذج الذكاء الاصطناعي جرى اختراقها من المنبع. تحديث خبيث. لم يكتشفه أحد. انتشر التحديث عبر المنظومة تلقائياً. ودخل المهاجمون من الباب الأمامي لكل شركة وثقت بالاعتمادية من دون التحقق منها.

ردّ Mercor: لم نكن مستهدَفين تحديداً. كنّا ضرراً جانبياً في هجوم على سلسلة التوريد. يُفترض أن يكون ذلك مطمئناً. لكنه ليس كذلك. إنه يعني أن سطح الهجوم هو منظومة البنية التحتية للذكاء الاصطناعي بأكملها. ويعني أن كل شركة تشغّل أدوات ذكاء اصطناعي مبنيّة على اعتماديات مفتوحة المصدر تبعد حزمةً مخترَقةً واحدة عن المصير نفسه.

4 تيرابايت. 939 غيغابايت من الشيفرة المصدرية وحدها. تُباع الآن في مزاد لأعلى مزايد. وشركة الذكاء الاصطناعي التي يتمحور منتجها بأكمله حول تقييم الحكم البشري لم يكن لديها أي إنسان في الحلقة يراقب الأدوات التي ائتمنتها على تشغيل أنظمتها الخاصة.