Meta telah menangguhkan semua kolaborasi dengan kontraktor data Mercor menyusul insiden keamanan yang signifikan, yang berdampak pada data pelatihan sensitif industri AI. Langkah ini dilakukan ketika laboratorium AI terkemuka lainnya, termasuk OpenAI, juga menilai kembali kemitraan mereka dengan Mercor untuk menentukan sejauh mana pelanggaran tersebut.
Taruhannya: Rahasia AI yang Dijaga Secara Ketat
Mercor adalah pemasok utama kumpulan data pelatihan khusus untuk perusahaan seperti OpenAI dan Anthropic. Kumpulan data ini penting untuk performa model AI (seperti ChatGPT dan Claude), dan oleh karena itu dijaga kerahasiaannya. Risikonya bukan hanya finansial; data yang bocor dapat memberikan wawasan kepada pesaing – termasuk di Tiongkok – mengenai metode pelatihan, sehingga memberi mereka keunggulan dalam lanskap AI yang berkembang pesat.
Sementara OpenAI sedang menyelidiki apakah data kepemilikannya terekspos, perusahaan bersikeras bahwa data pengguna tetap tidak terpengaruh. Anthropic belum mengomentari situasinya. Mercor sendiri membenarkan serangan tersebut, dan menyatakan bahwa serangan tersebut adalah salah satu dari “ribuan organisasi di seluruh dunia” yang terkena dampaknya. Jeda proyek Meta membuat kontraktor berada dalam ketidakpastian dan berpotensi kehilangan pekerjaan sampai pekerjaan dilanjutkan.
Pelanggaran: Bagaimana Terjadinya
Serangan tersebut tampaknya berasal dari pembaruan yang disusupi pada alat AI API LiteLLM, yang berpotensi memengaruhi ribuan perusahaan. Sebuah kelompok hacker yang dikenal sebagai TeamPCP dicurigai, meskipun kelompok lain, Lapsus$, awalnya mengaku bertanggung jawab. Peneliti keamanan percaya bahwa klaim Lapsus$ kemungkinan besar salah, dengan TeamPCP sebagai aktor utamanya.
TeamPCP menjadi terkenal melalui serangan rantai pasokan dan pemerasan data, yang terkait dengan kelompok ransomware. Kelompok ini juga menunjukkan motivasi politik, menyebarkan malware yang merusak di wilayah yang memiliki hubungan dengan Iran.
Mengapa Ini Penting: Meningkatnya Serangan Rantai Pasokan
Pelanggaran Mercor menyoroti tren yang berkembang: serangan rantai pasokan menjadi metode pilihan untuk mengkompromikan target bernilai tinggi. Dengan menargetkan vendor pihak ketiga (seperti Mercor), penyerang dapat memperoleh akses ke beberapa laboratorium AI sekaligus. Hal ini menggarisbawahi perlunya langkah-langkah keamanan yang kuat di seluruh rantai pasokan AI.
Mercor, seperti banyak pesaingnya (Surge, Handshake, dll.), beroperasi dengan sangat rahasia. Kurangnya transparansi membuat sulit untuk menilai kerentanan dan meningkatkan risiko pelanggaran di masa depan.
Insiden ini menjadi pengingat bahwa model AI yang paling berharga pun hanya seaman tautan terlemah dalam saluran data mereka. Industri harus memprioritaskan keamanan rantai pasokan untuk melindungi kekayaan intelektual intinya.
