ما هي ميركور؟

ميركور هي شركة ناشئة في مجال تدريب الذكاء الاصطناعي وتقدّر قيمتها بـ 10 مليارات دولار.

ما الذي حدث لميركور في مارس 2026؟

تعرضت ميركور للاختراق وسُرقت منها 4 تيرابايت من البيانات الحساسة بسبب أداة مفتوحة المصدر.

ما هي العواقب القانونية لميركور بعد الاختراق؟

تم رفع عدة دعاوى جماعية ضد ميركور في محاكم كاليفورنيا وتكساس، وأوقفت ميتا جميع عقودها معها.

كيف حدث الاختراق؟

استغل المخترقون ثغرة في أداة LiteLLM للحصول على دخول غير مصرح به إلى بنية ميركور.

لماذا يعتبر نموذج ميركور التجاري مثيرًا للقلق؟

لأنه يعتمد على أدوات مجانية وغير خاضعة للرقابة، مما يزيد من مخاطر الأمان ويسبب أضرارًا للعمال المتعاقدين.

ميركور: تكاليف بناء على الرمال المستعارة

ميركور وسعر البناء على الرمال المستعارة

في 31 مارس 2026، أكدت شركة ميركور —شركة ناشئة لتدريب الذكاء الاصطناعي بقيمة 10 مليارات دولار— علنًا ما كان يتداوله الباحثون في الأمن السيبراني: أنها تعرضت للاختراق من خلال LiteLLM، أداة مفتوحة المصدر مضمنة في بنيتها التحتية. أسفر الاختراق عن تسرب حوالي 4 تيرابايت من البيانات، بما في ذلك 939 جيجابايت من الكود المصدر للمنصة، قاعدة بيانات مستخدمين بحجم 211 جيجابايت، ونحو 3 تيرابايت من تسجيلات المقابلات بالفيديو، ومعلومات معرفة الهوية، واتصالات داخلية عبر Slack، ومعلومات شخصية —بما في ذلك أرقام الضمان الاجتماعي— لأكثر من 40,000 متعاقد مستقل.

في أقل من أسبوع، تم رفع خمسة دعاوى جماعية على الأقل في محاكم اتحادية في كاليفورنيا وتكساس. أوقفت شركة ميتا جميع عقودها مع الشركة بشكل غير محدد. ظهر موقع MercorClaims.com على الإنترنت سريعًا. وقام مجموعة Lapsus$ بمزاد البيانات المسروقة على موقعهم للتسريبات.

ما سأحلله هنا ليس الهجوم بحد ذاته. التفاصيل التقنية مثيرة للاهتمام، لكن القصة الأساسية أكثر أهمية لأي قائد يبني اليوم عملاً على وعد الذكاء الاصطناعي.

كيف تم بناء الثغرة قبل وصول المهاجم

كان مدخل الهجوم هجومًا على سلسلة التوريد للبرامج. قام مجموعة TeamPCP باستغلال ثغرة في Trivy، ماسح أمان مفتوح المصدر، لسرقة بيانات اعتماد القائمين على الصيانة. باستخدام تلك البيانات، قاموا باختراق نسختين من LiteLLM —بوابة ذكاء اصطناعي تحظى بـ 95 مليون تحميل شهري— المسجلة كـ CVE-2026-33634. ومن هناك، حصلوا على وصول جانبي إلى بنية ميركور التحتية. كانت النسخ الضارة من LiteLLM نشطة بين 40 دقيقة و3 ساعات. كان ذلك كافيًا.

وصف CISO من AppOmni، كوري ميشال، ذلك بأنه "فئة أكثر تأثيرًا" من هجمات إدخال الطلبات، نظرًا لأنها تهدد طبقة البنية التحتية قبل أن يبدأ أي تفاعل مع النموذج. ليس هجومًا على المنتج؛ إنه هجوم على الأساس.

هنا يكمن المشكلة الهيكلية التي لا يمكن لأي بيان صحفي من ميركور أن يحلها: أن الشركة بنت اقتراح قيمة بقيمة 10 مليارات دولار على اعتماد حاسم لم تتحكم فيه أو تموله، وحسب الدعاوى، لم تخضعه أيضًا لرقابة صارمة. LiteLLM مجانية ومفتوحة المصدر. لم تكن ميركور تدفع مقابلها. كانت تستفيد منها. وعندما فشلت، تحملت كل الأضرار.

هذه ليست مشكلة حصرية لميركور. بل هي نموذج تشغيل لجزء كبير من القطاع. تبني شركات ناشئة للذكاء الاصطناعي على طبقات من الأدوات المفتوحة لأنها تقليل تكاليفها المتغيرة على المدى القصير. لكن تلك التكاليف المنخفضة هي، بصورة أدق، عملية نقل المخاطر نحو الأسفل، نحو القائمين على الصيانة الطوعية، نحو المتعاقدين المستقلين، وعندما يفشل النظام، نحو 40,000 عامل تتداول أرقام ضمانهم الاجتماعي الآن في الأسواق السوداء.

النموذج الاستخراجي الذي أخفته قيمة 10 مليارات

تعمل ميركور في مجال تصنيف وتدريب بيانات الذكاء الاصطناعي. اقتراحها هو ربط العمال المستقلين —متعاقدين في المصطلحات القانونية— بشركات مثل ميتا، OpenAI، Anthropic وجوجل، لأداء مهام التغذية الراجعة التي يحتاجها نماذج اللغة للتعلم. هي، في الأساس، منصة عمل مجزأة تطبق على القطاع الأكثر استراتيجية في الاقتصاد التكنولوجي.

أشار الرئيس التنفيذي لمؤسسة Y Combinator إلى أن البيانات المعرضة تمثل "آلاف المليارات من القيمة" وتهديدًا للأمن القومي، حيث تضم معايير اختيار البيانات، وبروتوكولات التصنيف، واستراتيجيات التدريب المعزز. ليس هذا مبالغًا فيه. فهذه المعلومات، بيد خاطئة، تمثل ميزة تنافسية مباشرة لمن يبني نماذج موازية.

لكن دعونا نعيد النظر في الهيكل من الداخل: المتعهدون الذين أنشأوا تلك القيمة —الذين سُرقت تسجيلات مقابلاتهم، ونماذج W-9، ومحادثاتهم مع الأنظمة الذكية— كانوا عمالًا مستقلين بلا حماية عمالية معيارية. قدموا بيانات بيومترية، معلومات ضريبية وساعات من العمل العقلي. وفي المقابل، حصلوا على مدفوعات لكل مهمة. عندما فشل النظام، كان أول من تحمل التكلفة هم: هوياتهم معرضة، ومدخولاتهم متوقفة عندما أوقفت ميتا العقود، والآن يواجهون نفقات تقليل مخاطر الهوية التي تقدرها إحدى المدعيات في الوثائق القانونية كخسائر مباشرة.

عملت ناتيفيا إيسون، إحدى المدعيات، مع ميركور بين مارس 2025 ومارس 2026. قدمت نماذج W-9 بمعلوماتها الشخصية. اليوم، تدفع من جيبها ثمن خدمات حماية الهوية التي لم تقدمها الشركة. هذا ما يعنيه، من الناحية التشغيلية، نموذج حيث يتم تحويل المخاطر إلى الأجزاء الأضعف في السلسلة.

تتطلب الهيكلية المالية التي تسمح بتقييم 10 مليارات هوامش مرتفعة. تأتي الهوامش المرتفعة في منصات العمل المجزأة، جزئيًا، من تصنيف العمال كمتعهدين مستقلين —مما يلغي تكاليف الفوائد، التأمينات، وحماية البيانات التي ستكون ملزمة مع الموظفين—. هذا الادخار الهيكلي هو بالضبط ما يجعل الفجوة في البيانات كارثة قانونية: بدون العلاقة العمالية الرسمية، احتفظت الشركة بالوصول إلى معلومات حساسة للغاية دون تحمل الالتزامات الواجبة لحفظ تلك المعلومات.

ما ضخمته الصمت التنظيمي

في 9 أبريل 2026، أعلنت شركة المحاماة شوبيرت جونكهير وكولبي علنًا أن ميركور لم تقم بإبلاغ المدعين العامين للدولة بشأن الاختراق، مما قد يمثل انتهاكًا لقوانين الإبلاغ عن الحوادث في عدة دول. لم تستجب ميركور لطلبات التعليق. كما لم تفعل Berrie AI، مطورة LiteLLM. ولم تستجب شركة Delve Technologies، التي كانت قد صادقت على الامتثال التنظيمي لـ Berrie AI والتي تواجه اليوم اتهامات بـ "الامتثال الزائف كخدمة" من قبل مُبلغ مجهول.

يمثل الصمت المنسق لثلاثة جهات معنية في سلسلة الفشل، في حد ذاته، معلومات استراتيجية. عندما لا تتحدث أي جهة، يكون عادةً لأن ليس لدى أي جهة سرد يمكن أن يتحمل التدقيق. ما يتحمل التدقيق هم الحقائق: صنف مكتب الامتثال أمان أداة تم اختراقها. هذا النموذج المتمثل في الامتثال الآلي —حيث يتم التصديق دون تدقيق— هو ما أصبح الحكومة والامتثال (GRC) مسرحًا.

هذا النموذج له عواقب تمتد إلى ما هو أبعد من ميركور. إذا كان بإمكان حقائق الأمن في قطاع الذكاء الاصطناعي أن تُكتسب دون الالتزام بضوابط حقيقية، فإن السوق تعمل بمعلومات غير متناسقة هيكليًا. يتخذ العملاء مثل ميتا أو OpenAI قرارات التكامل مع افتراض أن مزوديهم قد تجاوزوا تدقيقات حقيقية. عندما تكون تلك التدقيقات رمزية، لا يختفي الخطر: يت redistributed إلى الأعلى في السلسلة حتى يظهر حادثه.

قد تحملت ميتا بالفعل تلك إعادة التوزيع. إن توقف جميع عقودها مع ميركور —بما في ذلك المشاريع من وحدتها للذكاء الاصطناعي الفائق، TBD Labs— ليس مجرد قرار لإدارة المخاطر. بل هي إشارة إلى أن شركة ذات تعقيد تشغيلي مثل ميتا لا يمكنها افتراض أن مزوديها لديهم الرقابة التي يدّعون.

النموذج الذي يبقى على الرغم من فشله

هنالك فرق هيكلي بين الأعمال التي تنمو بسرعة لأنها تستحدث مخاطرها، وتلك التي تنمو بشكل مستدام لأنها تديرها كجزء من اقتراح قيمتها. كانت ميركور، مع تقييمها البالغ 10 مليارات، تمثل الفئة الأولى. السؤال الذي يجب على القطاع معالجته الآن هو: هل هناك مجال تجاري للفئة الثانية؟

الإجابة هي: نعم، وهناك منطق تجاري خلفها. إن منصة تدريب الذكاء الاصطناعي التي تصنف عمالها كموظفين مع ضمان حماية البيانات، والتي تدفع مقابل الأدوات التحتية التي تستخدمها —أو تساهم بشكل فعال في صيانتها—، والتي تخضع شهاداتها الأمنية للتدقيقات المستقلة الحقيقية، سيكون لها تكاليف تشغيل أعلى. لكنها أيضًا ستواجه مخاطر قانونية، وسمعة، وتشغيل أقل بكثير. في قطاع حيث يمكن أن يؤدي حادث واحد إلى توقف العقود مع أكبر العملاء في العالم وإطلاق دعاوى جماعية في سلطات قضائية متعددة، فإن تقليل المخاطر له قيمة اقتصادية قابلة للحساب.

أكد الرئيس التنفيذي لمؤسسة Y Combinator أن البيانات المسروقة تمثل تهديدًا للأمن القومي. إذا كان هذا صحيحًا —وهناك أسباب لأخذ ذلك على محمل الجد— فإن نموذج الأعمال الذي يحمي تلك البيانات بشهادات ورقية ليس فقط مشكوكًا فيه أخلاقيًا. إنه غير قابل للاستمرار استراتيجيًا على المدى المتوسط.

إن القادة الذين يبنون اليوم على بنى تحتية مفتوحة المصدر دون تمويلها، وعلى عمال مستقلين دون حمايتهم، وعلى شهادات امتثال دون تدقيقها، يتخذون قرارًا ماليًا: يختارون هوامش أعلى اليوم على حساب تركيز الخطر في حدث مستقبلي، وعندما يحدث، سيكون بالمحصلة مشكلتهم الوحيدة. وقد أظهرت ميركور للتو كم يكلف ذلك الحدث.

المهمة للقادة في المستوى التنفيذي واضحة: قيم ما نسبة تقييمهم تعتمد على اعتمادات لا يتحكمون فيها، وعلى عمال لا يحميهم، وعلى امتثال لا يتحقق منه. إذا كان نموذج عملهم يستخدم الأفراد والبنية التحتية المشتركة كمدخلات رخيصة لتوليد القيمة للمساهمين، فقد أصبح لديهم الجواب حول كم من الوقت تبقى لهم قبل أن يصرف نموذجهم التكلفة الحقيقية.