Mercor e il prezzo di costruire su sabbie mobili
Il 31 marzo 2026, Mercor — la startup di addestramento di intelligenza artificiale valutata 10 miliardi di dollari — ha confermato pubblicamente ciò che già circolava tra i ricercatori di cybersecurity: era stata vulnerata tramite LiteLLM, uno strumento open source integrato nella sua infrastruttura. Il risultato è stata l'exfiltrazione di circa 4 terabyte di dati, inclusi 939 GB di codice sorgente della piattaforma, un database utenti di 211 GB, quasi 3 terabyte di registrazioni di interviste video, documenti di verifica dell'identità, comunicazioni interne su Slack e le informazioni personali — numeri di previdenza sociale inclusi — di oltre 40.000 collaboratori indipendenti.
In meno di una settimana, sono state presentate almeno cinque cause legali collettive presso le corti federali della California e del Texas. Meta ha sospeso indefinitamente tutti i contratti con l'azienda. MercorClaims.com è apparso online quasi immediatamente. E il gruppo Lapsus$ ha messo all'asta i dati rubati sul suo sito di leak.
Quello che analizzerò qui non è l'attacco in sé. I dettagli tecnici sono affascinanti, ma la storia di fondo è più importante per ogni leader che oggi sta costruendo un business sulla promessa dell'intelligenza artificiale.
Come si è generata la vulnerabilità prima dell'attacco
Il vettore d'ingresso è stato un attacco alla catena di approvvigionamento software. Il gruppo TeamPCP ha sfruttato una vulnerabilità in Trivy, uno scanner di sicurezza open-source, per rubare credenziali di manutentori. Con quelle credenziali ha compromesso due versioni di LiteLLM — un gateway di IA con 95 milioni di download mensili — registrata come CVE-2026-33634. Da lì, ha ottenuto accesso laterale all'infrastruttura di Mercor. Le versioni malevole di LiteLLM sono state attive tra i 40 minuti e le 3 ore. Abbastanza.
Il CISO di AppOmni, Cory Michal, ha descritto l'attacco come "una categoria più consistente" rispetto agli attacchi di iniezione di prompt, poiché compromette la base dell'infrastruttura prima che ci sia qualsiasi interazione con il modello. Non è un attacco al prodotto; è un attacco alle fondamenta.
Qui risiede il problema strutturale che nessun comunicato stampa di Mercor potrà risolvere: l'azienda ha costruito una proposta di valore da 10 miliardi di dollari su una dipendenza critica che non controllava, non finanziava e, secondo le cause, neppure auditava rigorosamente. LiteLLM è gratuita e open-source. Mercor non pagava per essa. Si beneficiava di essa. E quando è fallita, ha subito tutto il danno.
Questo non è un problema esclusivo di Mercor. È il modello operativo di buona parte del settore. Le startup di addestramento di IA costruiscono su strati di strumenti open-source perché riducono i loro costi variabili a breve termine. Ma quella riduzione dei costi è, in termini più precisi, una trasferenza di rischio verso il basso nella catena, verso i manutentori volontari, verso i collaboratori indipendenti e, quando il sistema fallisce, verso i 40.000 lavoratori il cui numero di previdenza sociale ora circola sui mercati clandestini.
Il modello estrattivo che la valutazione da 10 miliardi nascondeva
Mercor opera nel settore della etichettatura e addestramento di dati per l'IA. La sua proposta è di connettere lavoratori indipendenti — collaboratori nella terminologia legale — con aziende come Meta, OpenAI, Anthropic e Google, per svolgere compiti di feedback umano di cui i modelli di linguaggio hanno bisogno per imparare. È essenzialmente una piattaforma di lavoro frammentato applicata al segmento più strategico dell'economia tecnologica.
Il CEO di Y Combinator ha sottolineato che i dati esposti rappresentano "migliaia di miliardi di valore" e un rischio per la sicurezza nazionale, dato che includerebbero criteri di selezione dati, protocolli di etichettatura e strategie di addestramento per il rinforzo di frontiera. Non è esagerato. Quell'informazione, in mani sbagliate, è un vantaggio competitivo diretto per chi sta costruendo modelli rivali.
Ma osserviamo la struttura dall'interno: i collaboratori che hanno generato quel valore — le cui registrazioni di interviste, moduli W-9 e conversazioni con sistemi di IA sono state rubate — erano lavoratori indipendenti senza protezione lavorativa standard. Hanno fornito dati biometrici, informazioni fiscali e ore di lavoro cognitivo. In cambio, hanno ricevuto pagamenti per singolo compito. Quando il sistema ha fallito, i primi a subire i costi sono stati loro: le loro identità esposte, i loro guadagni interrotti quando Meta ha sospeso i contratti, e ora devono affrontare le spese di mitigazione dei rischi d'identità che una richiedente nei documenti legali quantifica come perdite dirette.
NaTivia Esson, una delle richiedenti, ha lavorato per Mercor tra marzo 2025 e marzo 2026. Ha presentato moduli W-9 con le sue informazioni personali. Oggi paga di tasca propria i servizi di protezione dell'identità che l'azienda non ha fornito. Questo è ciò che significa, in termini operativi concreti, un modello in cui il rischio è esternalizzato ai link più deboli della catena.
L'architettura finanziaria che consente una valutazione da 10 miliardi richiede margini elevati. I margini elevati su piattaforme di lavoro frammentato derivano, in parte, dal classificare i lavoratori come collaboratori indipendenti — eliminando costi di benefici, assicurazioni e protezione dati che sarebbero obbligatori con i dipendenti —. Quell'economia di costo strutturale è esattamente ciò che trasforma la perdita di dati in una catastrofe legale: senza una relazione lavorativa formale, l'azienda ha mantenuto accesso a informazioni altamente sensibili senza assumersi le obbligazioni di custodia che quelle informazioni richiedono.
Ciò che il silenzio normativo ha amplificato
Il 9 aprile 2026, lo studio Schubert Jonckheer & Kolbe ha annunciato pubblicamente che Mercor non aveva notificato ai procuratori generali statali la violazione, il che potrebbe costituire una violazione delle leggi di notifica di incidenti di vari stati. Mercor non ha risposto alle richieste di commento. Berrie AI, sviluppatore di LiteLLM, neppure. Delve Technologies, la società che aveva certificato la conformità normativa di Berrie AI e che oggi affronta accuse di "compliance falsa come servizio" da parte di un informatore anonimo, non ha risposto.
Il silenzio coordinato di tre attori coinvolti in una catena di fallimento è, di per sé, informazione strategica. Quando nessuna parte parla, di solito è perché nessuna parte ha una narrativa che resista all'esame. Ciò che resiste all'esame sono i fatti: una società di audit ha certificato la sicurezza di uno strumento che è stato compromesso. Quel modello di compliance automatizzata — dove si certifica senza audit — è il GRC (governance, risk e compliance) ridotto a teatro.
Questo schema ha conseguenze che vanno oltre Mercor. Se le certificazioni di sicurezza nel settore dell'IA possono essere acquistate senza corrispondere a controlli reali, allora il mercato opera con informazioni asimmetriche strutturali. Clienti come Meta o OpenAI prendono decisioni di integrazione presumendo che i loro fornitori abbiano superato audit genuini. Quando quelle audit sono simboliche, il rischio non scompare: si redistribuisce verso l'alto nella catena fino a quando un incidente non lo rende visibile.
Meta ha già assorbito quella ridistribuzione. La sospensione indefinita di tutti i suoi contratti con Mercor — ivi inclusi i progetti della sua unità di superintelligenza artificiale, TBD Labs — non è solo una decisione di gestione del rischio. È il segnale che un'azienda con la sofisticazione operativa di Meta non può presumere che i suoi fornitori abbiano i controlli che affermano di avere. Il costo di quella verifica, che Meta ha delegato implicitamente a Mercor, ora diventa un costo interno che Meta dovrà assorbire per qualsiasi fornitore equivalente in futuro.
Il modello che sopravvive alle proprie falle
Esiste una differenza strutturale tra un business che cresce rapidamente perché esternalizza i propri rischi e uno che cresce in modo sostenuto perché li internalizza e li gestisce come parte della sua proposta di valore. Mercor, con la sua valutazione di 10 miliardi, rappresentava la prima categoria. La domanda che il settore deve elaborare ora è se esista spazio commerciale per la seconda.
La risposta è affermativa e ha una logica commerciale dietro. Una piattaforma di addestramento di IA che classifica i suoi lavoratori come dipendenti con protezione dei dati garantita, che paga gli strumenti di infrastruttura che utilizza — o contribuisce attivamente al loro mantenimento — e che sottopone le sue certificazioni di sicurezza ad audit indipendenti genuini, avrà costi operativi più elevati. Avrà anche un rischio legale, reputazionale e operativo significativamente minore. In un settore in cui un singolo incidente può provocare la sospensione di contratti con i clienti più importanti del mondo e scatenare azioni legali collettive in più giurisdizioni, quella riduzione del rischio ha un valore economico quantificabile.
Il CEO di Y Combinator ha affermato che i dati rubati rappresentano un rischio per la sicurezza nazionale. Se ciò è vero — e ci sono motivi per prenderlo sul serio — allora il modello di business che protegge quei dati con certificazioni di carta non è solo eticamente discutibile. È strategicamente inviable a medio termine.
I leader che oggi stanno costruendo su infrastruttura open-source senza finanziarla, su collaboratori indipendenti senza proteggerli, e su certificazioni di compliance senza verificarle, stanno prendendo una decisione finanziaria: stanno scegliendo margini più elevati oggi a prezzo di concentrare il rischio in un evento futuro che, quando si verifica, sarà un loro problema esclusivo. Mercor ha appena dimostrato quanto costi quel evento.
Il mandato per i vertici aziendali è chiaro: auditare quale parte della loro valutazione poggi su dipendenze che non controllano, su lavoratori che non proteggono e su compliance che non verificano. Se il loro modello di business utilizza le persone e l'infrastruttura condivisa semplicemente come risorse economiche per generare valore per l'azionista, già hanno la risposta su quanto tempo resterà prima che quel modello gli costi il prezzo reale.
