Mercor атакован через уязвимость в open-source проекте LiteLLM

Mercor атакован через уязвимость в open-source проекте LiteLLM

Как Mercor был атакован через уязвимость в open-source проекте LiteLLM?

Что произошло? 18 марта 2026 года платформа Mercor (аутстаффинг AI-задач) подверглась атаке через критическую уязвимость в библиотеке LiteLLM. Злоумышленники получили ability execute arbitrary code на серверах Mercor, приведя к утечке данных 50 000 пользователей, включая персональные данные и конфиденциальные промпты. Это second major supply chain attack на AI-infrastructure after the断层 incident.

Как уязвимость в LiteLLM позволила вход?

LiteLLM — популярная Python-библиотека, предоставляющая единый API для десятков LLM-провайдеров (OpenAI, Anthropic, Together, etc.). Уязвимость (CVE-2026-XXXX) находилась в модуле route handling: при обработке某些 URL-параметров (например ?api_base=) библиотека не sterilizes input, что позволяло инжектить shell commands via crafted payload. Если приложение использует LiteLLM с user-supplied api_base (например, для кастомных endpoints), атакующий мог выполнить remote code execution (RCE).

Mercor использовал LiteLLM для маршрутизации запросов к различным моделям на основе предпочтений клиентов. Их implementation невалидировал api_base параметр, предоставляя атакующему вектор. Эксплойт позволил получить reverse shell, затем экскалировать privileges и получить доступ к базе данных.

Почему это важно для всего AI-стейка?

LiteLLM установлен в тысячах проектов (оценка 50 000+ репозиториев на GitHub). Это классический supply chain risk: уязвимость в одной библиотеке затрагивает всех downstream users. Особенно опасно, потому что many treat such libraries as «just utility» и не audits их security. Mercor — первый известный случай массовой эксплуатации, но, вероятно, не последний.

Магазин AI Digest

AI-инструменты, которые можно сразу взять в работу

Подборка доступов и подписок к популярным сервисам: быстро, с авто-выдачей и понятной оплатой.

Смотреть все товары

Это показывает, что AI-инфраструктура ещё незрела с точки зрения security. Мы видим pattern: быстрый рост open-source инструментов без достаточного фокуса на hardening. В то время как Anthropic предупреждает о киберугрозах от моделей, атаки на инфраструктуру становятся более привлекательными для хакеров.

Как Mercor и сообщество отреагировали?

Мercor отключил affected servers, провела forensic investigation и уведомила пользователей. Они работают с FBI и CISA. Также они увеличили bug bounty до $500k для будущих уязвимостей.

LiteLLM maintainers выпустили patch (версия 0.8.3) через 24 часа после discover. Они добавили strict validation для api_base и других parameters, а также выпустили security advisory. Но patch adoption varies: not all projects update immediately.

Сообщество призывает к formal security audits для popular AI libraries, similar to what OpenSSF does for other ecosystems.

Какие инструкции для разработчиков?

Если вы используете LiteLLM или подобные библиотеки:

  • Немедленно обновитесь до последней версии (>=0.8.3)
  • Never trust user-supplied api_base or similar parameters; allow only predefined allowlist
  • Run AI services in sandboxed containers with minimal privileges
  • Monitor logs for suspicious activity (unexpected commands, data exfiltration)
  • Use dependency scanning tools (e.g., Dependabot) proactively

Используйте RAG с валидацией источников, чтобы минимизировать риск инъекций через prompting.

Что дальше для security AI-инфраструктуры?

Ожидайте появление AI-focused SBOM (Software Bill of Materials) для моделей и библиотек, чтобы отслеживать зависимости. Также возможны regulatory requirements: NIST может выпустить guidelines для securing AI supply chain. Companies will need to conduct regular penetration testing not only on their applications but also on the underlying AI libraries they use.

В будущем, возможно, появятся «security-hardened» дистрибутивы популярных библиотек, vetted by third parties.

Почему атака на Mercor важна для ai-digest.ru?

Мы подробно разбираем RAG-архитектуры и их security implications. См. также наш анализ угроз от AI-моделей и общих рисков ИИ. Следите за нашими новостями ИИ.

AI Digest (ai-digest.ru) — актуальные новости, статьи и гайды об искусственном интеллекте. Подписывайтесь, чтобы оставаться защищёнными.

Магазин AI Digest

AI-инструменты, которые можно сразу взять в работу

Подборка доступов и подписок к популярным сервисам: быстро, с авто-выдачей и понятной оплатой.

Смотреть все товары
Прокрутить вверх