2026 年 3 月底,AI 招聘初创公司 Mercor 确认遭遇网络安全事件,此次攻击与开源项目 LiteLLM 的供应链 compromise 直接相关。作为一家估值达 100 亿美元、与 OpenAI 和 Anthropic 均有合作的明星企业,Mercor 的遭遇为业界敲响了供应链安全的警钟。本文将从攻击利用链、企业 incident response 流程两个维度,对该事件进行深度剖析,并提出可落地的防御与响应建议。
攻击利用链解析
LiteLLM 是一个被广泛应用于 AI 领域的开源网关项目,主要功能是统一路由多模型 API 调用。据安全厂商 Snyk 统计,该库的下载量已达每日数百万次级别。如此广泛的采用度,使其成为供应链攻击的理想目标。
攻击的初始阶段始于对 LiteLLM 项目依赖链的入侵。安全研究团队发现,恶意代码被植入到与该开源项目关联的软件包中,具体手法可能是通过篡改依赖关系或劫持维护者凭证。这一阶段的核心特征是攻击者将恶意代码注入上游可信组件,由于 LiteLLM 被大量企业直接引用,恶意代码随之扩散至数千家下游组织。
恶意代码被发现并移除仅耗时数小时,但在此窗口期内,已完成下载和部署的实例均面临潜在风险。Mercor 正是受影响的企业之一,公司发言人 Heidi Hagberg 确认其 “为数千家受影响公司之一”。值得注意的是,尽管初始恶意包已被清除,攻击者的后续渗透行动可能已在部分受害企业中完成部署。
攻击者获取初始访问权限后,通常会进行内部网络枚举和数据窃取。在本次事件中,勒索组织 Lapsus$ 在其泄露站点声称对 Mercor 实施了攻击,并公开了部分数据样本。TechCrunch 审查发现,样本内容包括 Slack 数据、票务系统数据,以及据称展示 Mercor AI 系统与平台承包商对话的两段视频。这一行为表明,攻击者已在受害者网络中完成了权限提升和数据外传。
企业 incident response 流程的关键节点
从 Mercor 事件可以看出,供应链攻击的 incident response 流程与传统单点入侵存在显著差异。以下是应对此类事件的核心流程节点。
第一阶段:发现与初步评估。当上游供应链出现安全事件时,企业往往难以第一时间判断自身是否受影响。Mercor 在获知 LiteLLM compromised 后迅速启动内部排查,这一决策的时间点至关重要。建议企业建立针对上游依赖的实时监控机制,当主流开源组件出现安全通告时,能够在数分钟内完成受影响资产的范围确认。
第二阶段:遏制与隔离。一旦确认受影响,首要任务是遏制攻击扩散。Mercor 方面表示已 “迅速采取行动” contain 并 remediate 安全事件。在供应链攻击场景下,遏制措施应包括:立即暂停受影响服务的对外暴露面、撤销可能泄露的凭证、隔离可疑进程和网络流量。企业应预先定义此类场景的 playbook,确保响应团队在高压环境下仍能有序执行。
第三阶段:取证与根因分析。完整的取证分析是理解攻击范围和后续防御加固的基础。Mercor 已聘请 “领先的第三方取证专家” 协助调查。考虑到供应链攻击的多跳特性,取证范围应覆盖:攻击者进入路径、受影响的系统与数据、横向移动痕迹、以及是否有其他恶意组件被部署。企业应确保取证过程符合合规要求,并保留完整的证据链以备后续法律程序使用。
第四阶段:通知与沟通。事件披露的时机和方式直接影响企业声誉和法律责任。Mercor 明确表示将 “继续根据情况直接与客户和承包商沟通”。对于涉及敏感数据泄露的事件,企业应在法律顾问指导下,制定分层次的通知策略,包括监管机构报告、客户通知、及必要的公众披露。
检测与防御的工程化参数
基于本次事件,企业可从以下维度建立供应链安全的工程化防御体系。
在依赖管理层面,强烈建议实施软件物料清单(SBOM)制度,确保每一版本的生产环境都对应完整的依赖快照。SBOM 应涵盖直接依赖和传递依赖,并定期与漏洞数据库进行交叉比对。对于 LiteLLM 这类高频使用的组件,建议启用依赖版本锁定和哈希校验,防止供应链劫持导致的恶意代码注入。
在运行时监控层面,企业应部署网络流量异常检测系统,重点关注从 AI 网关组件向外的大规模数据外传行为。Mercor 事件中攻击者成功窃取 Slack 数据和票务信息,表明敏感数据外泄是供应链攻击的核心目标。实时检测 egress 流量中的敏感数据模式,可为响应团队争取宝贵的遏制窗口。
在凭证管理层面,由于供应链攻击常以窃取凭证为目标,企业应实施动态凭证轮换策略。对于通过 LiteLLM 等代理层访问的 API 密钥,建议设置短生命周期(如 24 小时)并配合自动轮换机制。同时,启用密钥的异常使用地理检测和调用频率告警,可在凭证泄露后第一时间发现异常。
在 incident response 准备层面,建议企业每季度进行一次供应链攻击场景的桌面演练。演练脚本可参考本次 Mercor 事件的关键节点:上游组件 compromised 通报的响应、受影响范围的快速评估、证据固定与取证团队介入、及多方沟通协调。通过反复演练,将流程固化为肌肉记忆,确保真实事件发生时能够有条不紊地响应。
小结
Mercor 事件并非孤例,而是 AI 时代供应链安全风险的典型缩影。当企业的技术栈深度依赖开源组件时,一次上游 compromise 即可能导致连锁反应。企业需要从根本上转变安全思维,将供应链安全纳入整体风险框架,而非仅关注边界防御。通过建立 SBOM、实施依赖校验、强化运行时监控、并辅以定期的 incident response 演练,方能在下一次供应链攻击中占据主动。
资料来源:TechCrunch 报道(2026 年 3 月 31 日)、SANS ISC 安全研究。
内容声明:本文无广告投放、无付费植入。
如有事实性问题,欢迎发送勘误至 i@hotdrydog.com。