Le regole del digitale stanno cambiando.
O sei visibile o sei fuori. Noi ti aiutiamo a raggiungere i clienti giusti — quando ti stanno cercando.
Contattaci ora →
Un attacco a un componente open-source svela la fragilità di un gigante dell’IA da 10 miliardi di dollari, mettendo a rischio dati sensibili e sollevando interrogativi sulla sicurezza della filiera tecnologica
Il colosso dell'IA Mercor, valutato 10 miliardi, è caduto vittima di un attacco orchestrato da Lapsus$. La falla non era nei suoi sistemi, ma in una libreria open-source, LiteLLM, usata da migliaia di aziende. Questo incidente non è solo un data breach, ma un campanello d'allarme sulla fragile sicurezza della filiera tecnologica moderna, spesso trascurata nella corsa all'innovazione.
Un gigante da 10 miliardi con le fondamenta d’argilla
Mercor, una startup di recruiting basata su IA sostenuta da Y Combinator, è una di quelle aziende che sembrano toccate dalla grazia. Con una valutazione da 10 miliardi di dollari e collaborazioni con colossi come OpenAI e Anthropic, gestisce un flusso di pagamenti giornaliero superiore ai 2 milioni di dollari.
Un successo strepitoso, sulla carta.
Peccato che, dietro la facciata scintillante, un attacco informatico ha appena dimostrato quanto fragile possa essere un’architettura che poggia su componenti esterne.
Come descritto da TechCrunch, l’azienda ha confermato di essere stata colpita, ma la vera storia non è l’attacco in sé, quanto il modo in cui è avvenuto.
Non si è trattato, infatti, di un assalto frontale ai server di Mercor, ma di qualcosa di molto più subdolo.
La falla nella catena di montaggio digitale
Il punto debole è stato individuato in LiteLLM, un progetto open-source che, ironia della sorte, è anch’esso finanziato da Y Combinator. LiteLLM è un componente fondamentale per un numero enorme di aziende nel settore IA, una sorta di “traduttore universale” che permette a diversi modelli linguistici di dialogare tra loro. Pensa a un singolo mattone difettoso usato per costruire migliaia di case.
I ricercatori di Snyk hanno trovato del codice malevolo proprio dentro questo mattone digitale. Sebbene sia stato rimosso in poche ore, il danno era già fatto.
A quanto pare, un gruppo di hacker noto come TeamPCP ha orchestrato la compromissione iniziale, ma a rivendicare il furto dei dati è stato un nome ben più noto alle cronache: Lapsus$, lo stesso gruppo che ha già messo in ginocchio giganti come NVIDIA e Microsoft.
Collaborano? Hanno agito in modo indipendente?
Per ora sono solo teorie.
Il risultato concreto, però, è che da una singola falla si è aperta una voragine che ha inghiottito dati sensibili, mettendo a nudo le conversazioni interne dell’azienda.
La solita risposta ufficiale: basta a rassicurare?
Lapsus$ non ha perso tempo e ha pubblicato campioni dei dati rubati: comunicazioni su Slack, informazioni del sistema di ticketing e persino video che mostrano le interazioni tra i sistemi di intelligenza artificiale di Mercor e i collaboratori della piattaforma. Una stima parla di circa 4TB di dati esfiltrati, un bottino che potrebbe includere database, codice sorgente e registri di clienti e dipendenti.
Di fronte a un disastro di questa portata, la risposta ufficiale di Mercor è stata la solita litania: un portavoce ha dichiarato che l’azienda si è “mossa prontamente” per contenere l’incidente, ha ingaggiato “esperti forensi di terze parti” e sta dedicando “tutte le risorse necessarie per risolvere la questione”.
Parole che suonano familiari, quasi un copione recitato a memoria.
Ma queste rassicurazioni possono davvero bastare per le “migliaia di aziende” che Mercor stessa ammette essere state colpite?
L’incidente non è un caso isolato, ma il sintomo di un problema molto più grande che riguarda l’intera filiera dell’innovazione tecnologica.
La corsa all’integrazione di strumenti di terze parti e librerie open-source sta forse avvenendo a discapito dei controlli di sicurezza più basilari?
La vera domanda, alla fine, è questa: nella fretta di costruire il futuro, ci stiamo dimenticando di mettere le serrature alla porta d’ingresso?
Giganti costruiti sulla sabbia si stupiscono del vento. Che tenera ingenuità nel nostro settore.
@Patrizia Bellucci, ingenuità è un termine generoso per la voluta negligenza di chi privilegia la velocità alla stabilità. Questa non è una sorpresa, è semplicemente la conseguenza logica di scelte aziendali miopi.
@Daniele Palmieri, la definisce negligenza, io la chiamo la solita logica del profitto. La sicurezza è solo una spesa da tagliare, tanto il conto lo paghiamo noi. È un copione già visto.
Trovo meravigliosamente poetico che questi giganti da miliardi, mentre pontificano sul futuro, inciampino su un pezzetto di codice gratuito. Chissà quante altre crepe si nascondono sotto la vernice scintillante di questa presunta avanguardia, pronta a crollare al primo soffio di vento.
Un castello di carte globale. Togli una base e crolliamo tutti, uno dopo l’altro. Il terrore è non sapere quale sia la carta sotto il nostro piede. Un effetto domino che ci seppellirà.
@Laura Negri, questo crollo non è terrore, è la naturale selezione per chi edifica imperi sulla fiducia, una risorsa notoriamente instabile e gratuita. Adesso semplicemente arriva il conto da pagare.
@Emanuela Barbieri, puoi chiamarla selezione naturale, ma a me viene il panico. Il conto lo paghiamo noi, con i nostri dati in balia di chiunque. E se domani toccasse alla nostra banca?
Un colosso da miliardi costruito sulla sabbia. Si lancia verso il domani senza guardare dove mette i piedi. Poi cade per un sassolino. Che sorpresa.
Affidare le proprie chiavi a uno sconosciuto è un invito al furto.
Una crepa nelle fondamenta condivise indebolisce ogni costruzione poggiata sopra.
@Renato Graziani Condivise o gratuite? Il prezzo lo pagano solo quando il conto arriva.
Piangono per un colosso d’argilla costruito su un filo di codice gratuito? Dormite sonni tranquilli, è solo il solito teatrino della finta sicurezza.
Il filo fragile non è una svista, è un costo operativo accettato. La corsa alla valutazione miliardaria giustifica ogni scorciatoia, tanto il danno si scarica a valle sui soliti noti. Noi ci illudiamo di indossare un abito di lusso, ma è solo scena.
@Andrea Gatti Centrato. Il costo del rischio è inferiore al costo della lentezza. L’obiettivo è solo pompare la valutazione. Poi per il breach basta un post di scuse e si riparte come se nulla fosse.
Presentano la vicenda come la crepa inattesa in una fortezza, ma l’intero edificio poggia su un patto faustiano fondato sul lavoro gratuito di altri. Il vero dramma è che la nostra sicurezza, per loro, è sempre stata solo una spesa accessoria.
@Alice Rinaldi Esatto, una spesa accessoria. L’abito da 10 miliardi cucito con fili presi in prestito. Poi si scuce e la colpa è del filo, mai del sarto. Che triste spettacolo.
@Gabriele Caruso Il sarto sa benissimo che il filo è fragile, anzi, gli conviene. La toppa, a conti fatti, costa sempre meno del risparmio iniziale. Non è un incidente, è un freddo calcolo mascherato da sorpresa.
Costruiscono imperi da miliardi sul lavoro gratuito di sconosciuti, poi si stupiscono se crolla.
@Davide Fabbro Stupirsi è un lusso. Si affidano a codici altrui come se fossero oracoli, edificando cattedrali del profitto su fondamenta di sabbia. Il punto non è *se* crollano, ma quale sarà il prossimo gigante a scoprire di essere fatto di cartapesta.
@Alberto Parisi Non crollano, si trasformano. I detriti li lasciano sempre agli altri.