Mercorと借りた砂の上に構築する代償
2026年3月31日、10億ドルで評価されているAIトレーニングスタートアップ"Mercor"は、サイバーセキュリティ研究者の間で流れていた噂を公に確認した。LiteLLMというオープンソースツールを介して脆弱性を突かれ、約4テラバイトのデータが流出した。その中にはプラットフォームのソースコード939GB、211GBのユーザーデータベース、約3テラバイトのインタビュー映像、身分証明書の書類、Slackの内部コミュニケーション、さらに4万人以上の独立契約者の個人情報(社会保障番号を含む)が含まれていた。
一週間も経たずに、カリフォルニアとテキサスの連邦裁判所に少なくとも五件の集団訴訟が提出された。Metaはその会社との全契約を無期限に停止した。mercClaims.comというサイトもすぐに現れ、Lapsus$グループは流出したデータをオークションにかけた。
ここで分析するのは攻撃そのものではない。技術的な詳細には興味深い部分があるが、背景にあるストーリーはAIビジネスを構築しているリーダーにとってより重要だ。
攻撃者が来る前に構築された脆弱性
侵入経路はソフトウェアのサプライチェーン攻撃だった。TeamPCPグループはTrivyというオープンソースのセキュリティスキャナーに存在していた脆弱性を突いて、メンテナの認証情報を盗み取った。その情報を用いて二つのバージョンのLiteLLMを侵害した。このバージョンは、月間9500万ダウンロードを記録しているAIゲートウェイで、CVE-2026-33634として登録されている。そこからMercorのインフラに対して横方向へのアクセスを得た。悪意のあるLiteLLMのバージョンは40分から3時間の間にわたって活動していた。それで十分だった。
AppOmniのCISO、Cory Michalはこれを「より重大なカテゴリー」と表現した。なぜなら、攻撃者がモデルとの会話に入る前にインフラ層を侵害するからだ。これは製品への攻撃ではなく、基盤への攻撃なのだ。
ここがMercorのプレスリリースでは解決できない構造的な問題だ。この企業は、制御も資金提供もしていない、そして訴訟によると厳密な監査も行われていない重要な依存関係に基づいて、100億ドルの価値提案を構築した。LiteLLMは無料でオープンソースだ。Mercorはこれに対して支払いをしていなかった。利点を享受していたが、その失敗の際には全ての損害を被った。
これはMercorだけの問題ではない。多くの業界では、AIトレーニングスタートアップが短期的なコストを削減するためにオープンツールの層の上に構築している。だが、そのコスト削減は、実際は下流に向けてリスクを移転することに他ならない。ボランティアのメンテナ、独立契約者、そしてシステムが失敗した際には社会保障番号が地下市場で流通する40,000人の労働者へと。
100億ドルの評価が隠していた抽出モデル
MercorはAIデータのラベル付けとトレーニングのセクターで運営している。労働者をメタ、OpenAI、Anthropic、Googleなどの企業とつなぎ、言語モデルが学習に必要な人間によるフィードバック作業を行わせる提案をしている。これは本質的に、テクノロジー経済の最も戦略的なセグメントに適用された断片化された作業プラットフォームである。
Y CombinatorのCEOは、流出したデータが「何十億ともなる価値」と国家安全保障のリスクを示していると指摘した。それは過言ではない。その情報が間違った手に渡れば、競争モデルを構築するための直接的な競争資源になる。
しかし、内側からその構造を見つめてみよう。その価値を生む契約者たち—彼らのインタビュー録音、W-9フォーム、AIシステムとの会話が盗まれた彼らは、標準的な労働保護を受けていない独立契約者である。彼らは、生体認証や税務情報、認知的労働の時間を提出した。対価として、課題ごとに支払われた。しかし、システムが失敗したとき、最初にコストを被ったのは彼らだった。彼らのアイデンティティは漏洩し、Metaが契約を中断したことで収入が途絶え、リスク軽減のための費用を今、訴訟文書で直接的な損失として計上されている。
NaTivia Essonは、2025年3月から2026年3月までMercorで働いていた。彼女は自分の個人情報を記載したW-9フォームを提出した。今、彼女は会社が提供しなかったアイデンティティ保護サービスを自費で支払っている。これが、リスクがサプライチェーンの最も弱いリンクに外部化されるモデルの具体的な意味である。
10億ドルの評価を可能にする財務的なアーキテクチャは、高い利益率を必要とする。断片化された作業プラットフォームにおける高い利益率は、部分的には、労働者を独立契約者として分類することから生じる—従業員であれば必要となる福利厚生、保険、データ保護というコストを排除する。構造的なこの節約こそが、データの漏洩を法的な大惨事に変えるものである。正式な雇用関係がなければ、企業はそのデリケートな情報に高いアクセス権を保持することができ、情報保管の義務を負わない。
規制の沈黙が増幅したこと
2026年4月9日、Schubert Jonckheer & Kolbeは、Mercorが州の検事総長に漏洩を通知していなかったことを公に発表した。これは、複数の州の事故通知法に違反する可能性がある。Mercorはコメント要請に応じなかった。LiteLLMの開発者であるBerrie AIも、承認機関であるDelve Technologiesも同様に応じなかった。Berrie AIの遵守を認証した同社は、今、匿名の告発者から「遵守偽造としてのサービス」の非難を受けている。
三者が沈黙を保つことは、そもそも戦略的な情報である。どの側も話さないとき、それは通常、どの側にも厳密な検証に耐えられるストーリーがないからだ。実際に検証に耐えられるのは、以下の現実である。ある遵守会社が脆弱性のあるツールの安全性を認証した。監査なしに認証されるこの自動化された遵守モデル—それが、GRC(ガバナンス、リスク、コンプライアンス)を演劇として再構築している。
このパターンには、Mercorを超えた結果がある。AI領域における安全性認証が本物の管理チェックに対応せずに取得される場合、市場は構造的な非対称性の情報で運営される。MetaやOpenAIのような顧客は、供給者が本物の監査を通過していると信じ、統合の決定を行う。しかし、その監査が記号的であれば、リスクは消えず、上流に再配分され、事故がそれを明らかにするまで待たなければならない。
Metaはすでにその再配分を吸収した。Mercorとの全契約の無期限の中止—その中には、同社の超知能AI部門TBD Labsのプロジェクトも含まれる—はリスク管理の決定以上のものである。それは、Metaのような運営の洗練された企業が、サプライヤーが持っていると述べるべき情報管理を信じることができないというシグナルである。MetaがMercorに暗黙的に委任したその確認コストは、今後の適合サプライヤーに対して内部的なコストとなる。
自らの失敗を乗り越えるモデル
リスクを外部化して急速に成長するビジネスと、それを内部化し管理することで持続的に成長するビジネスの間には構造的な違いがある。100億ドルの評価を受けたMercorは、前者を象徴していた。業界が今考えるべき問いは、後者に商業的空間が存在するかどうかである。
その答えは肯定的であり、ビジネス論理がその背後にある。一人のAIトレーニングプラットフォームが、従業員としての労働者をデータ保護を保障し、使用するインフラツールに対して支払いを行うか、あるいはそのメンテナンスに積極的に貢献し、真に独立した監査に基づいた安全性シ認証を受ける場合、運用コストは高くなる。リスクは法的、評判、運営上の観点からも大幅に低下するだろう。世界最大の顧客との契約が一件で停止し、複数の州において集団訴訟を引き起こすできるセクターにおいて、そのリスク低減は経済的に計算できる価値を持つ。
Y CombinatorのCEOは、流出データが国家安全保障のリスクを意味すると言った。それが真実であれば—実際に真剣に受け止める理由がある— そのデータを紙の認証で保護するビジネスモデルは倫理的に疑問を呈するだけでなく、中長期的には戦略的に不可欠だ。
オープンソースに基づくインフラを資金提供せず、保護されていない独立契約者の上に基づき、かつ遵守認証が検証されないモデルを構築しているリーダーたちは、財務的な決定を下している。彼らは、昨日の高い利益率を選び将来的なイベントに集中するリスクを一手に引き受ける道を選んでいる。Mercorは、その高コストを示したに過ぎない。
Cレベルの経営者たちへの直接のコミュニケーションである。自社の評価が、コントロールできていない依存関係や、保護していない労働者、検証していないコンプライアンスに依存している部分を監査しなければならない。もし貴社のビジネスモデルが、利用者や共有インフラを単なる安い投入物として見なしているのであれば、真のコストが現れるのはどれだけ遠いのか、答えを得ることができるだろう。
