没有审计的链条
在2026年3月底,Mercor——一家估值100亿美元的初创企业,雇佣专家生成语言模型的训练数据集——通知其承包商发生了一起安全事件。原因是 LiteLLM 的一个漏洞,这是一种用于管理语言模型集成的开源工具。攻击者声称与 TeamPCP 组织有关,且有 LAPSUS$ 的交叉声明,声称他们提取了近4太字节的信息:211GB的数据库文件、939GB的源代码以及包含视频面试记录和身份验证文件的3TB数据。超过40,000名承包商和客户的全名和社保号码可能随之曝光。
Meta 的回应毫不含糊:无限期暂停与 Mercor 的所有合作关系。OpenAI 方面则进行了内部调查,但未停下正在进行的项目,称该漏洞不影响用户数据。Anthropic 正在重新评估其联系。目前已有集体诉讼在进行中。
此次事件暴露的并非仅仅是技术故障,而是一幅依赖架构的照片,展现出 AI 行业以完整性为代价在极速构建的风险体系。
使 AI 成为可能的商业模式暗藏代价
Mercor 绝非边缘性企业。它在 AI 大公司制造模型的核心运作:雇佣成千上万的特定领域专家,以生成和验证量身定制的训练数据。Meta、OpenAI 和 Anthropic 依赖这个流动来优化模型,随后转化为数十亿美元的产品收入。
这种依赖有其财务机制。高质量的训练数据——由具备真正专业知识的人进行验证——是为数不多的不能完全自动化的差异化因素之一。在竞争优势的意义上,它们是战略资产。而 Meta 的广告商业模式中,超过90%的收入依赖于其 AI 系统的表现,因此对待这些数据的态度必然更加谨慎。泄露的源代码不仅仅是代码,它还包含了竞争对手可以用来缩短自主开发数年时间的训练方法。
这一事件清晰地揭示了 Mercor 的悖论:随着 AI 价值链的数字化和外包,风险愈加分散到那些没有同样监管曝光和安全激励的大型实验室的参与者身上。Mercor 于2023年成立,仅用两年就实现了100亿美元的估值。这种飞速的成长很少伴随相应的安全控制的成熟。
攻击的载体并非 Mercor 的专有系统,而是 LiteLLM,一个开源依赖工具。这里便存在结构性的陷阱:AI 软件供应链建立在没有单一参与者完全控制的开放工具层上。当任何一层发生故障,影响便会横向传播至数千个组织。
为什么 Meta 行动而 OpenAI 选择静观
Meta 与 OpenAI 之间的反应差异不仅是情绪上的。这反映了两者在面对同样风险时的不同战略定位。
Meta 对开源有公开承诺——其 Llama 模型系列是其主要的技术定位,因此在某种程度上,其在训练数据泄露事件下的声誉风险更高。如果其优化模型的方法被曝光,那么“开源不意味着训练数据开放”的论点将变得难以维持。从这个角度看,暂停与 Mercor 的合作不仅是措施,更是一种市场信号。
OpenAI 的运作逻辑不同。其系统是封闭的,声明漏洞不影响用户数据直接指向了保护其最终消费者信任的目标,这是其最敏感的资产。保持项目的活跃状态同时进行调查,暗示着运营中断对于 OpenAI 的成本高于直接的声誉风险。这并非疏忽,而是不同的曝光计算。
这一差异对 Mercor 的影响超出了当前的暂停。如果 Meta 不恢复合作,Mercor 将失去其中一个最大客户,而此时其作为供应商的信誉处于低谷。与 AI 实验室的合同构建的100亿美元的估值在这些实验室正同时重新评估其供应链时显得极其脆弱。
正在法庭进行的集体诉讼进一步增加了 Mercor 的财务曝光率,投资者未在价格中考虑到这点。大规模的社保号码数据泄露事件,常会引起冗长且高昂的诉讼。对于投资者来说,问题不在于 Mercor 是否能度过这一技术事件,而在于其能否承担合同损失和法律费用的不小的结合,而不需要显著重组资本结构。
不可见风险的去货币化
多年来,AI 行业在一个隐含前提下运作:开发速度弥补了供应商治理的所有缺陷。实验室竞相发布模型,数据供应商竞争扩展,安全审计被推迟到“下一轮之后”。
此次事件成为一股加速已经在泄露前可被察觉的趋势的力量:关键能力的内部化。谷歌与 Meta 多年来一直在建立内部注释和验证团队,正是为了减少对第三方的依赖。Mercor 的漏洞让这一趋势成为任何尚未完成这一过渡的实验室的紧迫事务。
特定于训练数据的专业供应商市场因此面临结构性的重新配置。能够展示可审计的安全控制而非仅仅是交付速度的参与者,将赢得合同。那些完全依靠规模和快速雇用专家构建价值提案的企业将在客户将“安全认证”作为不可协商的要求后,发现这一差异化迅速被侵蚀。
分析的6D明确处于这一时刻:训练数据行业正在走出失望阶段——在这个阶段中,速度掩盖了裂痕——并进入内部颠覆阶段,其中安全标准成为供应商新的选择过滤器。AI 价值链的加速数字化已经发生。但与这同样速度未能数字化的,是实时审计这一链条的能力。这个差距正是 Mercor 及潜在众多类似供应商现在所付出的代价。
增强智能只有在其数据有可验证的保管链时才会有效;用受损数据训练的模型不是资产,而是延后负担。
