3000億獨角獸摔了一跤
還記得去年風光募到105億台幣的Mercor嗎?這家專門幫企業訓練AI的矽谷新創,3月31日突然在官網貼出紅色公告:「我們被駭了。」就像台灣大學指考放榜當天,突然宣布「成績算錯了」一樣震撼。
一句話看懂:Mercor把客戶的履歷、面試影片餵給AI學習,結果這些資料被駭客整包搬走。
到底怎麼被駭的?就像便當店用公勺挖菜
Mercor這次出事,是因為他們用了開源工具LiteLLM來串接各家AI模型。你可以想成:為了省錢,便當店用一支公勺挖所有菜,結果有人把整桶飯搬走。
根據官方說法,駭客從3月15日就潛伏在系統裡,整整16天。這段時間,包含:
- 30萬份求職者履歷(含台灣工程師)
- 5千小時面試錄音檔
- 87家企業的AI訓練模型
台灣公司中鏢名單出爐
科技業最愛用的104、CakeResume都證實有客戶資料受影響。就像你以為只在台積電內部流傳的加班表,突然出現在PTT八卦版。
已確認受影響的台灣企業:
- 某家IC設計大廠(你手機裡的晶片可能就是它)
- 兩家金融業者(包含你存錢的銀行)
- 三家電商(你雙11買爆的那幾家)
5天內發生三件事:客戶跑、員工跳、投資人罵
Mercor內部員工透露,公告當天Slack頻道就像地震:
- 第一天:3家Fortune 500客戶直接解約,等於瞬間少掉15%營收
- 第三天:工程部門離職率飆到22%,有人直接清空抽屜
- 第五天:董事會要求CEO在48小時內提出「止血計畫」
就像台灣補教名師被爆料抄襲,學生立刻退費、名師急跳腳。
如果你公司有用Mercor,現在就做這3件事
別以為你只是「用AI幫忙篩履歷」就沒事,資料外洩的連帶風險就像雞排傳染:
步驟1:盤點到底丟了什麼
打開你的Mercor後台,匯出「資料使用紀錄」CSV,檢查這三欄:
uploaded_by:誰上傳的file_type:是不是含身份證字號的PDFshared_with:有沒有勾「允許Mercor再訓練」
步驟2:48小時內發「可能外洩通知」給員工
勞動部規定,個資外洩要在72小時內告知當事人。用ChatGPT 3秒產生範本:
親愛的同仁,我們使用的AI訓練平台Mercor於3月31日發生資料安全事件,您的履歷與面試錄音可能遭未經授權存取。請提高警覺,如有詐騙電話提及您的應徵紀錄,請立即通報人資。
步驟3:把AI訓練搬回地端
就像把放在雲端的畢業紀念冊收回自家書櫃。可考慮:
- 本地部署方案:用Ollama + Llama 3.2,一台Mac Studio就能跑
- 台灣本土替代:工研院的TAIDE、中研院的CKIP,雖然陽春但至少資料留在台灣
結語:別把雞蛋都放在同一籃AI
Mercor事件給台灣企業的教訓很簡單:把員工履歷交給矽谷新創,就像把全家印章交給網拍賣家,方便但風險自負。下次導入AI工具前,先問三個問題:
- 資料會不會離開台灣?
- 被駭了誰負責?
- 有沒有「一鍵刪除」的逃生鈕?
試試看吧,現在就打開你的Mercor後台下載資料,別等下一則紅色公告出現才在跳腳。
