Mercor, Yapay Zeka Güvenlik İhlaliyle Sarsıldı: LiteLLM Projesi Hedef Oldu
Önde gelen yapay zeka (AI) işe alım girişimi Mercor, ciddi bir güvenlik olayıyla karşı karşıya kaldı. Şirket, açık kaynak kodlu LiteLLM projesini hedef alan bir tedarik zinciri saldırısından etkilendiğini doğruladı. Bu olay, yapay zeka dünyasında giderek artan siber güvenlik risklerini bir kez daha gözler önüne serdi.
Yapay Zeka Güvenlik İhlali ve Mercor’un Durumu
Mercor, geçtiğimiz günlerde binlerce şirketi etkileyen LiteLLM ihlali kurbanlarından biri olduğunu belirtti. Bu saldırı, TeamPCP adlı bir bilgisayar korsanlığı grubuna bağlandı. Siber gasp grubu Lapsus$ da Mercor’u hedef aldığını ve verilerine eriştiğini iddia etti. Ancak Lapsus$ grubunun çalınan verilere nasıl ulaştığı henüz net değil.
2023 yılında kurulan Mercor, yapay zeka modellerini eğitmek için OpenAI ve Anthropic gibi devlerle iş birliği yapıyor. Şirket, Hindistan gibi pazarlardan bilim insanları, doktorlar ve avukatlar gibi uzmanları bünyesine katıyor. Mercor, günlük 2 milyon doların üzerinde ödeme yaptığını açıklıyor. Şirketin değeri, Ekim 2025’teki 350 milyon dolarlık C Serisi yatırım turu sonrası 10 milyar dolara ulaşmıştı.
Mercor sözcüsü Heidi Hagberg, güvenlik olayını kontrol altına almak için hızla hareket ettiklerini doğruladı. “Konuyu lider üçüncü taraf adli bilişim uzmanları desteğiyle derinlemesine araştırıyoruz” dedi. Hagberg, müşterileri ve çalışanları bilgilendirmeye devam edeceklerini ekledi. Sorunu en kısa sürede çözmek için tüm kaynaklarını seferber ettiklerini vurguladı.
LiteLLM Projesi ve Tedarik Zinciri Saldırısının Detayları
LiteLLM projesinin tehlikeye girmesi, geçen hafta ortaya çıkmıştı. Açık kaynaklı projenin bir paketinde kötü amaçlı kod tespit edildi. Kötü amaçlı yazılım birkaç saat içinde kaldırıldı. Ancak LiteLLM’in internet genelindeki yaygın kullanımı endişe yarattı. Güvenlik firması Snyk’e göre, kütüphane günde milyonlarca kez indiriliyor. Bu olay, LiteLLM’in uyumluluk süreçlerinde değişiklik yapmasına yol açtı. Şirket, Delve yerine Vanta ile uyumluluk sertifikasyonlarına yöneldi.
Lapsus$ grubunun sızıntı sitesinde Mercor’dan ele geçirildiğini iddia ettiği veriler paylaşıldı. Bu örnekler arasında Slack verileri ve biletleme kayıtları yer alıyordu. Ayrıca Mercor’un yapay zeka sistemleri ile çalışanlar arasındaki görüşmeleri gösteren iki video da bulunduğu belirtildi. Hagberg, Lapsus$ iddialarıyla ilgili ek soruları yanıtlamayı reddetti. Müşteri veya çalışan verilerinin erişilip erişilmediği konusunda yorum yapmaktan kaçındı.
Açık Kaynak Yazılımların Siber Güvenlik Riskleri
Bu olay, açık kaynaklı yazılımların tedarik zinciri saldırılarına karşı ne kadar savunmasız olduğunu gösteriyor. Bir projedeki küçük bir güvenlik açığı, geniş bir ekosistemi etkileyebiliyor. Bu durum, özellikle siber güvenlik uzmanlarının sürekli dikkatli olmasını gerektiriyor. Yazılım geliştiricilerin güvenlik protokollerini sıkılaştırması büyük önem taşıyor.
Siber saldırılar, sadece büyük şirketleri değil, tüm dijital ekosistemi tehdit ediyor. Kullanıcıların dijital güvenlik bilinci de artırılmalı. Güvenilir kaynaklardan bilgi almak için kimbiliyo.com gibi platformları ziyaret edebilirsiniz. Her şirket, gelişmiş güvenlik önlemlerini uygulamalıdır. Sıkı denetimler ve sürekli izleme kritik hale gelmiştir.
Mercor olayı, yapay zeka sektöründeki hızlı büyümeyle birlikte güvenlik açıklarının da arttığını gösteriyor. Şirketlerin, bu tür risklere karşı hazırlıklı olması gerekiyor. Gelecekte benzer olayların yaşanmaması için iş birliği ve bilgi paylaşımı çok önemli olacak. Yetkililer, olayla ilgili soruşturmalarına devam ediyor. Kaç şirketin etkilendiği hala belirsizliğini koruyor.
Daha fazla Yapay Zeka haberi için sitemizi ziyaret edebilirsiniz.
