詳細を読む
MetaがAI訓練データの委託先であるMercorとの全業務を無期限で停止したことが、WIREDの取材で明らかになりました。大規模なセキュリティ侵害を受けた措置で、他の主要AI企業も同社との取引を再評価しています。
MercorはOpenAIやAnthropicなどの大手AI企業向けに、モデル訓練用の独自データセットを人間の契約作業者を通じて生成する企業です。これらのデータはChatGPTやClaude Codeといった製品の中核をなすもので、競合他社への流出は深刻な影響を及ぼしかねません。
侵害の原因は、攻撃グループTeamPCPによるAI APIツール「LiteLLM」の2バージョンへの不正コード混入です。このサプライチェーン攻撃により、LiteLLMを利用する数千の企業・サービスが影響を受けた可能性があります。
Mercorは3月31日にスタッフへのメールで攻撃を認めました。Meta関連プロジェクトに従事していた契約作業者は、再開まで稼働時間を記録できず、事実上の休業状態に置かれています。
OpenAIは現行プロジェクトを停止していないものの、自社の訓練データがどの程度露出したか調査中です。同社はユーザーデータへの影響はないと明言しています。
Lapsus$を名乗るグループが200GB超のデータベースや約1TBのソースコードなどの販売を主張していますが、セキュリティ研究者は元のLapsus$との関連を否定しています。実際の攻撃者はTeamPCPまたはその関連グループとみられています。
TeamPCPは近月中に勢いを増しており、ランサムウェアグループとの連携やイラン関連のクラウドインスタンスを狙うワーム「CanisterWorm」の拡散など、金銭目的と地政学的動機の両面で活動を拡大しています。