Meta Stopt Mercor Samenwerking na Data Breach

Excerpt: Meta beëindigt samenwerking met Mercor na data breach. Het tweede AI-security incident in een week bevestigt: de AI supply chain is broos.

Meta heeft het werk met AI-recruiting startup Mercor stopgezet en onderzoekt een data breach bij het bedrijf. Business Insider berichtte op 4 april 2026 dat Meta's security-team de samenwerking on hold zette nadat bleek dat Mercor-data was gecompromitteerd. Het is de tweede grote AI-gerelateerde beveiligingsincident in een week — en het bevestigt een ongemakkelijke trend: de AI supply chain is broos.

Dit incident volgt op de LiteLLM-compromise van eind maart, waarbij credential-stealing malware werd geïnjecteerd via een open-source AI-tool. Samen vormen ze een patroon dat de AI-industrie niet kan negeren.

Wat er gebeurde

Mercor is een AI-recruiting startup die training data aan Meta leverde. De precieze aard van de breach is nog onder onderzoek, maar de impact is duidelijk: Meta verbrak de samenwerking onmiddellijk.

De timing is relevant. Eind maart werd LiteLLM, een populaire open-source library voor AI model-routing, gecompromitteerd met credential-stealing malware. Dat incident trof honderden bedrijven die de library in hun pipeline hadden. De Mercor-breach volgt hetzelfde patroon: een leverancier in de AI-ecosystem wordt zwakke schakel.

Het AI supply chain probleem

De AI-industrie bouwt op een complexe leveranciersketen — iets dat onder de EU AI Act steeds strenger wordt gereguleerd:

1. Data leveranciers — bedrijven zoals Mercor die training data verzamelen en cureren

2. Open-source tools — libraries zoals LiteLLM, LangChain, Hugging Face Transformers

3. Cloud-infrastructuur — AWS, Azure, GCP voor compute en storage

4. Model-providers — OpenAI, Anthropic, Google voor foundation models

5. Integration-lagen — API's, fine-tuning services, evaluation tools

Elke schakel is een potentieel aanvalsoppervlak. En de meeste bedrijven die AI-toepassingen bouwen hebben onvoldoende zicht op wie er in hun supply chain zit — laat staan dat ze de beveiliging van elke leverancier kunnen waarborgen.

Waarom dit nu urgent is

Twee breaches in een week is geen toeval meer. Het is een signaal dat aanvallers de AI-ecosystem hebben ontdekt als aanvalsvector. De redenen:

- Snelle adoptie, trage security. Bedrijven integreren AI-tools sneller dan ze de risico's kunnen beoordelen. Een library die gisteren werd geïnstalleerd kan vandaag gecompromitteerd zijn.

- Hoge concentratie van waardevolle data. AI-training pipelines bevatten vaak grote hoeveelheden bedrijfsdata, gebruikersdata, en proprietary informatie. Eén compromitteerde leverancier geeft toegang tot meerdere downstream-klanten.

- Onvolwassen security-praktijken bij startups. Veel AI-startups groeien snel en prioriteren product boven security. Mercor is daarvan een voorbeeld — een jong bedrijf dat direct toegang had tot Meta-systemen.

Parallels met de SolarWinds-aanval

De structuur van deze incidenten vertoont overeenkomsten met de SolarWinds-aanval van 2020: aanvallers compromitteren een vertrouwde leverancier om toegang te krijgen tot downstream-klanten. Het verschil is dat de AI supply chain jonger is, minder getest, en minder goed begrepen door security-teams.

SolarWinds trof 18.000 organisaties via één gecompromitteerde update. LiteLLM trof een vergelijkbaar aantal AI-pipelines via één gecompromitteerde library. De schaal is identiek — alleen het domein is anders.

Wat bedrijven moeten doen

Vendor security assessments voor AI-leveranciers. Voordat je een AI-tool of -service integreert, beoordeel de security-posture van de leverancier. Dit geldt vooral voor startups die toegang krijgen tot gevoelige data.

Dependency scanning. Scan je AI-pipeline dependencies regelmatig. LiteLLM werd gecompromitteerd via een package update — het soort ding dat automated scanning kan detecteren.

Minimize data sharing. Deel alleen de data met AI-leveranciers die strikt noodzakelijk is. Meta gaf Mercor toegang tot training data; als die toegang beperkter was geweest, was de impact van de breach kleiner.

Incident response planning. Meta's reactie — onmiddellijk stoppen van de samenwerking — is het juiste protocol. Bedrijven moeten vooraf bepalen wat ze doen als een AI-leverancier wordt gecompromitteerd, niet pas nadenken als het gebeurt.

Bottom line

De Mercor-breach en LiteLLM-compromise vormen samen een waarschuwing die de AI-industrie niet kan negeren. De supply chain die AI mogelijke maakt — data-leveranciers, open-source tools, cloud-services — is een aanvalsoppervlak dat groeit naarmate meer bedrijven AI adopteren.

Meta's snelle reactie toont dat grote tech-bedrijven dit serieus nemen. De vraag is of de duizenden kleinere bedrijven die AI-tools integreren dat ook doen. De volgende breach komt. De vraag is alleen waar.

Veelgestelde vragen

Wat is Mercor precies?

Mercor is een AI-recruiting startup die training data verzamelt, cureert en levert aan grote tech-bedrijven zoals Meta. Het bedrijf fungeert als tussenpartij in de AI-data supply chain.

Hoe verschilt dit van de LiteLLM-compromise?

LiteLLM werd gecompromitteerd via kwaadaardige code in een open-source package update. Mercor had een interne data breach — het aanvalsvector verschilt, maar de impact is vergelijkbaar: downstream-klanten raken gecompromitteerd via een leverancier.

Welke bedrijven zijn nog meer getroffen?

Meta is de enige bekende grote klant die publiekelijk is genoemd. Business Insider suggereert dat andere bedrijven die Mercor-data gebruikten mogelijk ook getroffen zijn, maar dit is nog niet bevestigd.

Bronnen:

- Business Insider: Meta Pauses Work With Mercor, Investigating Data Breach (4 april 2026)