Атака на Mercor через LiteLLM: почему open-source убивает безопасность AI

Open-source считается священной коровой tech-индустрии. Прозрачность, коллективная разработка, демократизация технологий — мантры, которые повторяют от стартапов до корпораций. LiteLLM, популярная библиотека для работы с языковыми моделями, казалась идеальным примером этой философии.

Но атака на Mercor обнажает тёмную сторону открытости. Хакеры не взламывали системы грубой силой — они отравили исходный код, которому доверяли тысячи разработчиков. Supply chain attack через open-source репозиторий оказался эффективнее любого целевого взлома. Один скомпрометированный коммит — и уязвимость распространилась по всей экосистеме как вирус.

Mercor — не единственная жертва. По данным Sonatype, атаки на open-source проекты выросли на 742% за последние три года. А в AI-сфере, где компании интегрируют десятки библиотек для обработки данных и моделей, каждая зависимость становится потенциальной бомбой замедленного действия.