Ecco un punto di vista che farà sputare il caffè ai esperti di sicurezza: il recente attacco informatico a Mercor—risalente a un progetto open source compromesso chiamato LiteLLM—potrebbe in realtà dimostrare perché l’open source è più affidabile delle alternative proprietarie, non meno.
Lo so, lo so. Sembra strano. Una startup di reclutamento AI è stata violata perché ha utilizzato software gratuito, costruito dalla comunità. Non dovrebbe essere questo l’esempio A di perché le aziende dovrebbero attenersi a soluzioni aziendali costose e “sicure”?
Non così in fretta.
Cosa È Accaduto Davvero
Nel marzo 2026, Mercor ha confermato di essere stata colpita da un attacco informatico collegato a LiteLLM, un progetto open source che aiuta gli sviluppatori a lavorare con diversi modelli di intelligenza artificiale. L’azienda ha riconosciuto di essere stata “una delle migliaia di aziende” colpite da questo attacco alla catena di fornitura. Un gruppo di estorsione ha rivendicato la responsabilità per il furto di dati dai sistemi di Mercor.
Questo è ciò che i professionisti della sicurezza chiamano un attacco alla catena di fornitura: quando gli hacker compromettono uno strumento ampiamente utilizzato su cui dipendono altre aziende. Pensateci come avvelenare l’acqua potabile invece di entrare nelle singole case. È efficiente, e sta diventando sempre più comune.
Il Paradosso dell’Open Source
Ora, ecco dove le cose diventano interessanti. Quando il software proprietario viene compromesso, spesso non ne senti parlare fino a mesi dopo—se mai. Le aziende hanno ogni incentivo a mantenere le violazioni segrete, e il loro codice è bloccato in modo che i ricercatori indipendenti non possano esaminarlo.
Ma l’open source? Il codice è lì pronto per essere ispezionato da chiunque. Quando LiteLLM è stato compromesso, la comunità della sicurezza ha potuto immediatamente vedere cosa è successo, come è successo e chi è stato colpito. La trasparenza non è solo un elemento desiderabile; è integrata nel sistema.
Mercor non ha cercato di nascondere ciò che è accaduto. Ha confermato pubblicamente l’incidente. Questo è in parte dovuto al fatto che dovevano farlo—la natura aperta della violazione ha reso impossibile nasconderla. Ma è anche perché l’ecosistema open source ha una cultura di divulgazione che i fornitori di software proprietario spesso mancano.
La Vera Lezione per le Persone Non Tecniche
Se non sei uno sviluppatore, potresti chiederti: dovrei preoccuparmi degli strumenti di AI che utilizzo? Sono costruiti su fondamenta instabili?
La verità è che quasi ogni pezzo di software che usi—dalla tua app bancaria alla tua piattaforma di social media preferita—si basa su componenti open source. Non è una questione di se le aziende usano open source, ma quanto.
Ciò che conta non è se il software è aperto o chiuso. Ciò che conta è se le aziende stanno monitorando le loro dipendenze, aggiornando regolarmente e rispondendo rapidamente quando emergono problemi.
Perché Questo Continua a Succedere
Gli attacchi alla catena di fornitura funzionano perché il software moderno è come una torre di mattoncini. Gli sviluppatori non scrivono tutto da zero—utilizzano librerie e strumenti esistenti (come LiteLLM) per costruire più velocemente. Questo è in realtà positivo! Significa che otteniamo software migliore, più rapidamente.
Ma significa anche che un mattoncino compromesso può influenzare l’intera torre. Quando gli hacker prendono di mira progetti open source popolari, non stanno semplicemente attaccando una singola azienda—potrebbero colpire potenzialmente migliaia di aziende.
La soluzione non è abbandonare l’open source. Sarebbe come rifiutare di usare le strade perché si verificano incidenti. Invece, abbiamo bisogno di migliori regole del traffico: scansione di sicurezza automatizzata, distribuzione più rapida delle patch e, sì, maggiore trasparenza su quando le cose vanno male.
Cosa Ci Dice la Risposta di Mercor
Il riconoscimento da parte di Mercor di essere stata colpita—assieme a migliaia di altre aziende—è in realtà rassicurante. Dimostra che stanno monitorando i loro sistemi e sono onesti sui rischi. Confronta con aziende che scoprono le violazioni mesi dopo che si sono verificate, o peggio, che non le scoprono affatto.
Il settore del reclutamento AI è particolarmente sensibile perché queste aziende gestiscono informazioni personali su candidati e datori di lavoro. Il fatto che Mercor abbia divulgato rapidamente questo incidente suggerisce che prendono sul serio la sicurezza, anche quando è imbarazzante.
Il Futuro
Per noi che non siamo esperti di sicurezza, l’incidente di Mercor ci ricorda che nessun software è perfettamente sicuro—sia esso open source o meno. Ciò che dovremmo cercare nelle aziende di cui ci fidiamo non è la perfezione, ma onestà e tempi di risposta rapidi quando si verificano problemi.
L’open source non ha fallito Mercor. Un progetto specifico è stato compromesso, la comunità lo ha identificato, e le aziende colpite stanno ora rispondendo. Questo è il sistema che funziona, anche se è disordinato e pubblico.
L’alternativa—software proprietario con vulnerabilità nascoste e violazioni non divulgate—è di gran lunga più spaventosa. Almeno con l’open source, sappiamo con cosa abbiamo a che fare.
Quindi sì, Mercor è stata hackerata attraverso una dipendenza open source. Ma quella trasparenza potrebbe essere proprio il motivo per cui ne stiamo parlando—e perché probabilmente usciranno più forti dall’altra parte.
🕒 Published: