2026年4月1日 10:42
MercorがLiteLLM経由のサイバー攻撃被害を確認
Mercor says it was hit by cyberattack tied to compromise of open-source LiteLLM project
3行まとめ
- •AI採用スタートアップMercorが侵害を確認
- •オープンソースLiteLLMの脆弱性が悪用された
- •恐喝目的のハッカー集団がデータ窃取を主張
詳細
背景
AI採用スタートアップのMercorが、サイバー攻撃による情報漏洩被害を公式に認めた。攻撃は恐喝を目的とするハッカー集団によるもので、同集団はMercorのシステムからデータを窃取したと主張している。きっかけとなったのは、多くのAIサービスが利用するオープンソースのLLMプロキシライブラリ「LiteLLM」のセキュリティ侵害だった。
内容
LiteLLMはOpenAIやAnthropic、Google等の複数のAIモデルAPIを統一したインターフェースで呼び出せるオープンソースツールであり、多くのAI系スタートアップや開発者が業務インフラとして採用している。今回の攻撃では、このLiteLLMプロジェクトが侵害されたことを入り口に、Mercorのシステムへの不正アクセスが行われたとされる。サプライチェーン攻撃の一形態であり、オープンソースソフトウェアを介した被害拡大が懸念される。
今後の影響
LiteLLMを利用している他のAI企業や開発者にも同様のリスクが及ぶ可能性がある。オープンソースのAIインフラを業務に組み込んでいる組織は、依存ライブラリのセキュリティ状態を改めて確認する必要がある。今回の事案はAIサービス開発において広く使われるオープンソースツールがサイバー攻撃の標的になり得ることを示しており、サプライチェーンセキュリティへの注意を促す事例となった。
なぜ重要か
LiteLLMは多くのAI開発者が利用するツールのため、同ライブラリを使う組織は自社環境のセキュリティ確認が急務となる。