Mercor, startup de recrutamento com foco em inteligência artificial, confirmou na terça-feira, 31 de março de 2026, um incidente de segurança ligado a um ataque à cadeia de suprimentos envolvendo o projeto de código aberto LiteLLM. O caso foi relatado após alegações do grupo de extorsão digital Lapsus$ de que teria atacado a empresa e obtido acesso a dados. De acordo com informações do TechCrunch, ainda não está claro como os dados atribuídos à Mercor teriam sido obtidos no contexto do ataque associado ao grupo TeamPCP.
A empresa afirmou ao TechCrunch que foi “uma entre milhares de companhias” afetadas pelo comprometimento recente do projeto LiteLLM. A confirmação do incidente ocorre em meio à investigação sobre a possível exposição de informações corporativas, enquanto permanecem sem resposta pontos centrais, como a extensão do acesso indevido e se houve uso impróprio de dados de clientes ou prestadores. Para o público brasileiro, o episódio chama atenção porque bibliotecas de código aberto amplamente usadas em sistemas de IA também podem estar presentes em produtos e serviços adotados por empresas no Brasil, o que reforça o risco de ataques à cadeia de suprimentos digitais.
O que a Mercor disse sobre o incidente?
A porta-voz da empresa, Heidi Hagberg, afirmou que a Mercor agiu rapidamente para conter e remediar o incidente de segurança. Segundo ela, a apuração está em andamento com apoio de especialistas externos em perícia forense digital.
“Estamos conduzindo uma investigação completa com o apoio de especialistas líderes em perícia forense de terceiros”, disse Hagberg. “Continuaremos a nos comunicar diretamente com nossos clientes e contratados, conforme apropriado, e destinaremos os recursos necessários para resolver a questão o mais rápido possível.”
— Publicidade —Google AdSense • Slot in-article
Em seguida, a porta-voz não respondeu a perguntas adicionais sobre eventual ligação direta entre o episódio e as alegações do Lapsus$, nem esclareceu se dados de clientes ou contratados foram acessados, extraídos ou utilizados de forma indevida. Assim, o caso segue sob investigação sem confirmação pública sobre o alcance do impacto.
Que tipo de material teria sido exposto?
Mais cedo, o Lapsus$ afirmou ser responsável pela aparente violação de dados e publicou em seu site de vazamentos uma amostra de materiais atribuídos à Mercor. O TechCrunch informou ter analisado esse conteúdo, que incluía referências a dados do Slack, aparentes registros de sistema de tickets e dois vídeos supostamente mostrando conversas entre sistemas de IA da plataforma e contratados.
Apesar disso, o texto original ressalta que não é possível afirmar de imediato como o grupo teria obtido esse material no contexto do ataque ligado ao TeamPCP. Também não há confirmação independente, no conteúdo fornecido, de que toda a amostra divulgada corresponda a dados efetivamente extraídos da empresa.
- A Mercor confirmou ter sido afetada pelo comprometimento do LiteLLM.
- O Lapsus$ alegou ter acessado dados da empresa.
- Não está claro como o material teria sido obtido.
- Não houve confirmação pública sobre exposição de dados de clientes ou contratados.
- A investigação segue com apoio de peritos externos.
Por que o caso do LiteLLM chamou atenção?
O comprometimento do LiteLLM veio à tona na semana anterior, após a descoberta de código malicioso em um pacote ligado ao projeto de código aberto apoiado pela Y Combinator. Embora esse código tenha sido identificado e removido em poucas horas, o episódio recebeu atenção por causa da ampla adoção da biblioteca na internet.
Segundo a empresa de segurança Snyk, citada no texto original, a biblioteca é baixada milhões de vezes por dia. O caso também levou o LiteLLM a promover mudanças em seus processos de conformidade, incluindo a troca da Delve pela Vanta para certificações de compliance. Em casos assim, o risco está no fato de que uma falha em um componente compartilhado pode atingir várias empresas ao mesmo tempo, inclusive em diferentes países e setores.
Qual é o porte da Mercor e o que ainda falta esclarecer?
Fundada em 2023, a Mercor atua na contratação de especialistas como cientistas, médicos e advogados para treinamento de modelos de inteligência artificial. De acordo com o artigo, a startup trabalha com empresas como OpenAI e Anthropic, realiza mais de US$ 2 milhões em pagamentos diários e foi avaliada em US$ 10 bilhões após uma rodada Série C de US$ 350 milhões liderada pela Felicis Ventures em outubro de 2025.
Mesmo com a confirmação do incidente, ainda não se sabe quantas empresas foram afetadas pelo problema relacionado ao LiteLLM, nem se houve exposição efetiva de dados em todos os casos. Até o momento, as informações disponíveis indicam que a investigação continua e que detalhes essenciais sobre autoria, impacto e eventual uso indevido de informações permanecem em aberto.
