Mercor und der Preis, auf leihem Sand zu bauen
Am 31. März 2026 bestätigte Mercor – das mit 10 Milliarden Dollar bewertete KI-Trainings-Startup – öffentlich, was bereits unter Cybersicherheitsexperten kursierte: Es war durch LiteLLM, ein in seine Infrastruktur integriertes Open-Source-Tool, verwundbar geworden. Das Ergebnis war die Exfiltration von etwa 4 Terabyte Daten, darunter 939 GB Quellcode der Plattform, eine 211 GB große Benutzerdatenbank, fast 3 Terabyte Videoaufnahmen von Interviews, Identitätsverifizierungsdokumente, interne Slack-Kommunikation und persönliche Informationen – inklusive Sozialversicherungsnummern – von über 40.000 unabhängigen Auftragnehmern.
Innerhalb einer Woche wurden mindestens fünf Sammelklagen an Bundesgerichten in Kalifornien und Texas eingereicht. Meta setzte alle Verträge mit dem Unternehmen auf unbestimmte Zeit aus. MercorClaims.com tauchte fast sofort im Internet auf. Und die Gruppe Lapsus$ versteigerte die gestohlenen Daten auf ihrer Leckseite.
Was ich hier analysieren möchte, ist nicht der Angriff an sich. Die technischen Details sind faszinierend, aber die Hintergrundgeschichte ist für jeden Führer, der heute ein Geschäft auf der Grundlage des Versprechens der künstlichen Intelligenz aufbaut, wichtiger.
Wie die Verwundbarkeit entstand, bevor der Angreifer kam
Der Eingangsvektor war ein Angriff auf die Software-Lieferkette. Die Gruppe TeamPCP nutzte eine Schwachstelle in Trivy, einem Open-Source-Sicherheits-Scanner, um Anmeldeinformationen von Wartenden zu stehlen. Mit diesen Anmeldeinformationen kompromittierten sie zwei Versionen von LiteLLM – einem KI-Gateway mit 95 Millionen monatlichen Downloads – registriert als CVE-2026-33634. Von dort aus erhielten sie seitlichen Zugriff auf die Infrastruktur von Mercor. Die bösartigen Versionen von LiteLLM waren zwischen 40 Minuten und 3 Stunden aktiv. Genug.
Cory Michal, CISO von AppOmni, beschrieb es als "eine folgenreiche Kategorie", die sich von den Angriffen auf die Eingabeaufforderungen unterscheidet, da sie die Infrastruktur-Ebene compromised, bevor es zu einem Gespräch mit dem Modell kommt. Es ist kein Angriff auf das Produkt; es ist ein Angriff auf das Fundament.
Hier liegt das strukturelle Problem, das kein Pressestatement von Mercor lösen wird: Das Unternehmen hat eine Wert proposition von 10 Milliarden Dollar auf eine kritische Abhängigkeit aufgebaut, die es nicht kontrollierte, nicht finanzierte und, laut den Klagen, auch nicht gründlich auditiert hat. LiteLLM ist kostenlos und Open Source. Mercor zahlte nicht dafür. Das Unternehmen profitierte davon. Und als sie scheiterte, erhielt es den gesamten Schaden.
Dies ist kein Problem, das nur Mercor betrifft. Es ist das Betriebsmodell eines Großteils der Branche. KI-Startup nutzen offene Tools, um ihre variablen Kosten kurzfristig zu senken. Aber diese Kostensenkung ist präziser eine Risikoübertragung nach unten in der Kette, zu den freiwilligen Wartenden, zu den unabhängigen Auftragnehmern, und, wenn das System versagt, zu den 40.000 Arbeitnehmern, deren Sozialversicherungsnummer jetzt in Schattenmärkten kursiert.
Das extraktive Modell, das die 10-Milliarden-Bewertung verhüllte
Mercor operiert im Bereich der Datenbeschriftung und KI-Training. Ihr Angebot ist es, unabhängige Arbeiter – in der rechtlichen Terminologie Auftragnehmer – mit Unternehmen wie Meta, OpenAI, Anthropic und Google zu verbinden, um menschliches Feedback zu leisten, das die Sprachmodelle zum Lernen benötigen. Es ist im Wesentlichen eine Plattform für fragmentierte Arbeit, die auf das strategisch wichtigste Segment der Technologieökonomie angewendet wird.
Der CEO von Y Combinator stellte fest, dass die exponierten Daten "Milliarden an Wert" und ein nationales Sicherheitsrisiko darstellen, da sie Auswahlkriterien, Beschriftungsprotokolle und Strategien für verstärkendes Training beinhalten würden. Das ist nicht übertrieben. Diese Informationen sind in den falschen Händen ein direkter Wettbewerbsvorteil für jeden, der konkurrierende Modelle aufbaut.
Doch betrachten wir die Struktur von innen: Die Auftragnehmer, die diesen Wert generierten – deren Interviewaufnahmen, W-9-Formulare und Gespräche mit KI-Systemen gestohlen wurden – waren unabhängige Arbeiter ohne Standard-Arbeitsschutz. Sie lieferten biometrische Daten, steuerliche Informationen und kognitive Arbeitsstunden. Im Gegenzug erhielten sie Zahlungen pro Aufgabe. Als das System versagte, waren sie die ersten, die die Kosten trugen: ihre Identitäten wurden offengelegt, ihre Einnahmen unterbrochen, als Meta die Verträge aussetzte, und nun stehen sie vor den Ausgaben zur Minderung von Identitätsrisiken, die eine Klägerin in den Gerichtsunterlagen als direkte Verluste beziffert.
NaTivia Esson, eine der Klägerinnen, arbeitete von März 2025 bis März 2026 für Mercor. Sie reichte W-9-Formulare mit ihrer persönlichen Information ein. Heute zahlt sie aus eigener Tasche für die Identitätsschutzdienste, die das Unternehmen nicht bereitstellte. Das bedeutet in konkreten betrieblichen Begriffen ein Modell, in dem das Risiko an die schwächsten Glieder in der Kette ausgelagert wird.
Die finanzielle Architektur, die eine Bewertung von 10 Milliarden Dollar ermöglicht, erfordert hohe Margen. Hohe Margen in fragmentierten Arbeitsplattformen ergeben sich teilweise daraus, dass die Arbeiter als unabhängige Auftragnehmer klassifiziert werden – wodurch Kosten für Leistungen, Versicherungen und Datenschutz ausgeschlossen werden, die bei Angestellten obligatorisch wären. Diese strukturelle Einsparung ist genau das, was die Datenlücke in eine rechtliche Katastrophe verwandelt: Ohne ein formelles Arbeitsverhältnis hatte das Unternehmen Zugang zu hochsensiblen Informationen, ohne die Verpflichtungen zur Verwahrung, die diese Informationen benötigen.
Was das regulatorische Schweigen verstärkte
Am 9. April 2026 gab die Kanzlei Schubert Jonckheer & Kolbe öffentlich bekannt, dass Mercor die Staatsanwälte nicht über die Datenpanne informiert hatte, was eine Verletzung der Meldegesetze in mehreren Staaten darstellen könnte. Mercor antwortete nicht auf Anfrage zur Stellungnahme. Auch Berrie AI, die Entwickler von LiteLLM, tat dies nicht. Delve Technologies, die Firma, die die Einhaltung der Vorschriften von Berrie AI zertifiziert hatte und nun Anklagen wegen "falscher Compliance als Dienstleistung" von einem anonymen Whistleblower gegenübersteht, antwortete ebenfalls nicht.
Das koordinierte Schweigen von drei Akteuren in einer Kette von Versagen ist, für sich genommen, strategische Information. Wenn keine Partei spricht, liegt es meist daran, dass keine Partei eine Erzählung hat, die dem kritischen Prüfstand standhält. Was jedoch dem kritischen Prüfstand standhält, sind die Fakten: Eine Compliance-Firma zertifizierte die Sicherheit eines Werkzeugs, das kompromittiert wurde. Dieses automatisierte Compliance-Modell – wo ohne Prüfung zertifiziert wird – ist GRC (Governance, Risk, and Compliance) in Theater verwandelt.
Dieses Muster hat Konsequenzen, die über Mercor hinausgehen. Wenn Sicherheitszertifikate im KI-Sektor erworben werden können, ohne dass echte Kontrollen durchgeführt werden, dann arbeitet der Markt mit struktureller asymmetrischer Information. Kunden wie Meta oder OpenAI treffen Integrationsentscheidungen in dem Glauben, dass ihre Anbieter genuine Audits bestanden haben. Wenn diese Audits symbolisch sind, verschwindet das Risiko nicht: Es wird nach oben in der Kette umverteilt, bis ein Vorfall es sichtbar macht.
Meta hat diese Umverteilung bereits absorbiert. Die unbefristete Aussetzung aller Verträge mit Mercor – einschließlich der Projekte seiner KI-Superintelligenz-Einheit, TBD Labs – ist nicht nur eine Risikomanagemententscheidung. Es ist das Signal, dass ein Unternehmen mit der betrieblichen Sophistizierung von Meta nicht davon ausgehen kann, dass seine Anbieter die Kontrollen haben, die sie behaupten zu besitzen. Die Kosten dieser Überprüfung, die Meta implizit Mercor delegiert hat, wird nun zu einer internen Kosten, die Meta für jeden äquivalenten Anbieter in der Zukunft absorbieren muss.
Das Modell, das seine eigenen Fehler überlebt
Es gibt einen strukturellen Unterschied zwischen einem Unternehmen, das schnell wächst, weil es seine Risiken externalisiert, und einem, das nachhaltig wächst, weil es sie internalisiert und als Teil seines Wertangebots verwaltet. Mercor, mit seiner Bewertung von 10 Milliarden Dollar, stellte die erste Kategorie dar. Die Frage, die die Branche jetzt verarbeiten muss, ist, ob es Geschäftsraum für die zweite gibt.
Die Antwort ist ja, und es gibt geschäftliche Logik dahinter. Eine KI-Trainingsplattform, die ihre Arbeiter als Angestellte mit garantierten Datenschutzrechten klassifiziert, die für die Infrastrukturwerkzeuge, die es nutzt, bezahlt – oder aktiv zu deren Wartung beiträgt – und deren Sicherheitszertifikate echten unabhängigen Audits unterzieht, wird höhere Betriebskosten haben. Sie wird auch ein erheblich geringeres rechtliches, rufschädigendes und operatives Risiko haben. In einem Sektor, in dem ein einziger Vorfall die Aussetzung von Verträgen mit den größten Kunden der Welt auslösen und Sammelklagen in mehreren Gerichtsbarkeiten nach sich ziehen kann, hat diese Risikominderung einen messbaren wirtschaftlichen Wert.
Der CEO von Y Combinator stellte fest, dass die gestohlenen Daten ein nationales Sicherheitsrisiko darstellen. Wenn das wahr ist – und es gibt Gründe, es ernst zu nehmen – dann ist das Geschäftsmodell, das diese Daten mit Papierzertifikaten schützt, nicht nur ethisch fragwürdig. Es ist strategisch auf lange Sicht unhaltbar.
Die Führenden, die heute auf Open-Source-Infrastruktur bauen, ohne sie zu finanzieren, auf unabhängigen Auftragnehmern, ohne sie zu schützen, und auf Compliance-Zertifizierungen, die sie nicht überprüfen, treffen eine finanzielle Entscheidung: Sie wählen heute höhere Margen im Austausch für die Konzentration des Risikos in einem zukünftigen Ereignis, das, wenn es eintritt, ihr ausschließliches Problem sein wird. Mercor hat gerade bewiesen, wie viel dieses Ereignis kostet.
