Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > AI Supply Chain Datalek: Het Mercor-LiteLLM-patroon staat nog maar aan het begin
AI Supply Chain Datalek: Het Mercor-LiteLLM-patroon staat nog maar aan het begin

AI Supply Chain Datalek: Het Mercor-LiteLLM-patroon staat nog maar aan het begin

by Patrick Spencer updated mei 27, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 8 minutes

Op 6 april 2026 meldde Computing dat Meta zijn samenwerking met AI data-aannemer Mercor had opgeschort na een datalek waarbij mogelijk gevoelige informatie over de training van toonaangevende AI-systemen is blootgesteld. Mercor erkende het incident in een interne e-mail aan medewerkers op 31 maart en omschreef het als onderdeel van “een bredere beveiligingsincident dat duizenden organisaties wereldwijd treft”.

Het cruciale detail: onderzoekers koppelden het Mercor-datalek aan gecompromitteerde updates in LiteLLM, een AI-bibliotheek die breed wordt ingezet als uniforme interface voor diverse LLM-aanbieders. Dit is hoe een modern AI supply chain-datalek eruitziet. Geen enkele perimeter om te verdedigen. Geen enkele CVE om te patchen. Een derde-partij tool die door duizenden teams om legitieme technische redenen is geïnstalleerd, upstream gecompromitteerd, met een aanvalsoppervlak dat zich verspreidt naar elke organisatie met deze afhankelijkheid in hun omgeving.

5 Belangrijkste Inzichten

1. De AI-trainingspipeline is nu een actief aanvalsoppervlak.

Eén enkele gecompromitteerde AI-bibliotheek — LiteLLM — zou zijn doorgedrongen tot Meta, OpenAI en “duizenden organisaties”. Traditionele risicobeoordelingen van leveranciers zijn niet ontworpen om AI-toolafhankelijkheden te detecteren, omdat ze zijn ontwikkeld voor een ander tijdperk. De aanval kwam niet via een klantgerichte dienst, maar via een technische tool binnen de workflow.

2. Overdrachtsrisico, zichtbaarheid en concentratie faalden gelijktijdig.

De WEF Global Cybersecurity Outlook 2026 plaatst overdrachtsrisico — het onvermogen om de integriteit van derde-partijsoftware te waarborgen — als grootste supply chain cyberzorgen, met zichtbaarheid op de tweede plaats. Mercor raakte alle drie: een geconcentreerde AI-tool, weinig zicht op data-toegang, en overgeërfde integriteitszwaktes die geen enkel beveiligingsteam van klanten via vragenlijsten had kunnen detecteren. Supply chain-risicodata toont dat 65% van de grote organisaties nu derde-partij kwetsbaarheden als hun grootste weerbaarheidsuitdaging ziet.

3. De AI-pipeline is de meest geconcentreerde supply chain in computertechnologie.

Hugging Face, LiteLLM, LangChain, LlamaIndex — het gedeelde afhankelijkheidsnetwerk van moderne AI-workloads is dicht. De MalHug pipeline-studie vond 91 kwaadaardige modellen en 9 kwaadaardige dataset-laadscripts tussen 705.000+ Hugging Face-modellen. JFrog rapporteerde een toename van 6,5 keer in kwaadaardige Hugging Face-modellen in 2024–2025. Het AI-ecosysteem lijkt op npm in 2018: snel bewegend, onderbemand, slechts één gecompromitteerde beheerder verwijderd van een kettingreactie van falen.

4. 87% van de organisaties heeft geen gezamenlijk incident response-plan met partners.

De Kiteworks 2026 Forecast toont aan dat 87% geen gezamenlijk incident response-plan met partners heeft, 89% nooit IR heeft geoefend met derde-partijleveranciers, en 84% geen geautomatiseerde kill switches voor partner-toegang heeft. De meeste organisaties die een Mercor-achtig incident meemaken, zouden dit via mediaberichtgeving ontdekken, niet via hun beveiligingsstack — en hun reactie improviseren zonder draaiboek of oefening.

5. De enige verdediging die standhoudt is datalaag-governance, onafhankelijk van de supply chain.

Wanneer de AI-tool gecompromitteerd is, moet de data nog steeds worden beheerd. ABAC-handhaving, FIPS 140-3 encryptie en manipulatiebestendige audit logs op de datalaag blijven werken wanneer een derde-partij afhankelijkheid faalt. Een gecompromitteerde bibliotheek die de data gateway bereikt, komt alsnog het beleidssysteem tegen voordat er data wordt teruggegeven.

Je vertrouwt erop dat je organisatie veilig is. Maar kun je het verifiëren?

Lees nu

Waarom traditionele leveranciersrisicobeoordeling AI-toolcompromittering mist

Het leveranciersrisicomodel dat de meeste bedrijven gebruiken, is ontwikkeld voor een eerder tijdperk. Een vragenlijst vraagt naar SOC 2-rapporten, encryptiepraktijken, meldings-SLA’s bij datalekken en toegangscontroles. Geen van deze vragen brengt de Mercor-foutmodus aan het licht. De compromittering kwam niet via een klantgerichte dienst, maar via een AI-bibliotheek die via standaardpakketupdates werd verspreid en werd ingezet tegen de data die de AI verwerkte.

De WEF Global Cybersecurity Outlook 2026 toont dat 65% van de grote bedrijven derde-partij- en supply chain-kwetsbaarheden als hun grootste cyberweerbaarheidsuitdaging ziet — een stijging ten opzichte van 54% in 2025. Overdrachtsrisico staat op één: je kunt niet vertrouwen wat je niet zelf hebt gebouwd. Zichtbaarheid staat op twee: je weet niet wat je gebruikt. Concentratie staat op drie: als één knooppunt uitvalt, vallen er veel uit. De Mercor-LiteLLM-compromittering raakt alle drie tegelijk.

Het Black Kite 2026 Third-Party Breach Report documenteert 136 geverifieerde derde-partij datalekken in 2025, 719 genoemde slachtoffers en ongeveer 26.000 niet-genoemde getroffen organisaties. De mediane publieke bekendmakingstijd was 73 dagen — wat betekent dat tegen de tijd dat de meeste organisaties hoorden dat hun leverancier was getroffen, de data al meer dan twee maanden onderweg was.

De AI-pipeline is de meest geconcentreerde supply chain in computertechnologie

Het gedeelde afhankelijkheidsnetwerk van moderne AI-workloads is dicht. Hugging Face voor modeldistributie. LiteLLM, LangChain of LlamaIndex voor orkestratie. PyTorch en TensorFlow voor training. Een handvol leveranciers-API’s voor inferentie. Een groeiende lijst MCP-servers voor agentintegratie. Eén enkele gecompromitteerde bibliotheek bereikt een enorm deel van de AI-workloads in productie.

Het peer-reviewed bewijs is zorgwekkend. De MalHug pipeline-studie, gepubliceerd op ASE 2024, monitorde 705.000+ modellen en 176.000+ datasets op Hugging Face en vond 91 kwaadaardige modellen en 9 kwaadaardige dataset-laadscripts — waaronder reverse shells en browser-inloggegevensdiefstal, ingebed in legitiem ogende artefacten. JFrog’s 2024–2025-telemetrie rapporteerde een toename van 6,5 keer in kwaadaardige modellen op Hugging Face. Recent IEEE S&P-onderzoek naar derde-partij AI-chatbotplug-ins toonde aan dat 8 van de 17 plug-ins geen integriteit van gespreksgeschiedenis afdwingen, waardoor directe prompt-injectie 3–8× wordt versterkt, en 15 van de 17 indirecte prompt-injectie mogelijk maken door geen onderscheid te maken tussen vertrouwde en onbetrouwbare inhoud.

Dit is de supply chain waarop AI-workloads draaien. Het lijkt op het npm-ecosysteem in 2018: publiek, snel bewegend, onderbemand en slechts één gecompromitteerde beheerder verwijderd van een kettingreactie van falen. Het Mercor-LiteLLM-incident is geen uitzondering — het is het patroon dat andere organisaties opnieuw zullen zien met andere tools in 2026.

Waarom “We vertrouwen onze leveranciers” geen verdediging meer is

De klanten van Mercor — Meta, OpenAI en anderen — hadden geen contract met LiteLLM. Ze hadden een contract met Mercor. Mercor was afhankelijk van het open-source-ecosysteem. De compromittering reisde van het ecosysteem naar Mercors omgeving en van Mercors omgeving naar die van de klanten. Tegen de tijd dat iemand de juiste leveranciersrisicovraag kon stellen, was de data al weken blootgesteld.

De Kiteworks 2026 Forecast ondervroeg 225 organisaties over derde-partij paraatheid en vond ernstige gaten: 87% heeft geen gezamenlijk incident response-plan met partners, 89% heeft nooit IR geoefend met derde-partijleveranciers, 84% heeft geen geautomatiseerde kill switches voor partner-toegang. Wanneer een partner wordt getroffen, zal bijna negen op de tien organisaties hun reactie improviseren. Geen draaiboek. Geen oefening. Geen gecoördineerd plan.

Dat is de operationele realiteit waarin de Mercor-onthulling terechtkwam. De meeste organisaties die een Mercor-achtig incident in hun eigen supply chain meemaken, zouden dit via mediaberichtgeving ontdekken — niet via hun beveiligingsstack.

Verplaats de verdediging onder de supply chain

De architectonische conclusie is ongemakkelijk maar steeds onvermijdelijker: de AI supply chain kan niet op tijd betrouwbaar worden gemaakt. De tools ontwikkelen zich te snel, het afhankelijkheidsnetwerk is te dicht en zichtbaarheid in compromitteringspatronen loopt maanden achter op adoptie. De verdediging moet naar een laag die de supply chain niet kan bereiken — de data.

Datalaag-governance betekent dat elk verzoek van een AI-agent, RAG-pipeline of orkestratietool wordt geauthenticeerd, geëvalueerd op basis van op attributen gebaseerde toegangscontrole, en volledig gelogd voordat er data wordt teruggegeven. De compromittering van een upstream-bibliotheek verandert de uitkomst van het beleid niet. Agentidentiteit wordt cryptografisch geverifieerd. Dataclassificatie wordt in realtime geëvalueerd tegen de context van het verzoek. Encryptie gebruikt FIPS 140-3 gevalideerde cryptografische modules. De audittrail is manipulatiebestendig en wordt in realtime naar SIEM gestreamd — waardoor een “duizenden organisaties”-melding verandert in een verdedigbaar, bewijsbaar incident response-proces.

De Kiteworks 2026 Forecast-data laat zien waar de meeste organisaties zich bevinden in deze transitie. 33% mist audittrails van bewijskwaliteit, 41%–44% heeft geen basis-AI-governancecontroles geïmplementeerd, en 55%–63% mist beheersmaatregelen zoals kill switches en purpose binding. De architectonische correctie is reëel, maar de meeste organisaties zijn nog niet begonnen.

Hoe Kiteworks governance implementeert die de supply chain niet kan omzeilen

De Kiteworks Secure MCP Server stelt AI-assistenten in staat om te communiceren met bedrijfsdata via OAuth 2.0-authenticatie, waarbij inloggegevens worden opgeslagen in OS keychains en nooit worden blootgesteld aan de LLM-context. Elke bewerking wordt geëvalueerd op ABAC- en RBAC-beleid, met limieten om bulkextractie te voorkomen, en volledig gelogd. Een gecompromitteerde AI-bibliotheek die de MCP Server bereikt, komt alsnog het beleidssysteem tegen voordat er data wordt teruggegeven — de AI erft de gebruikersrechten en kan deze niet overschrijden.

De AI Data Gateway biedt dezelfde handhaving voor RAG-pipelines en geautomatiseerde workflows. Elke opvraging wordt geauthenticeerd en geautoriseerd op de datalaag, met FIPS 140-3 gevalideerde encryptie die het pad tussen gateway en datastore beschermt. De gateway is model-agnostisch — werkt met Claude, Microsoft Copilot, OpenAI en elk MCP-compatibel systeem. Beleid reist mee met de data, niet met het model.

De hardened virtual appliance-architectuur onder beide mogelijkheden is het aanvullende supply chain-antwoord. Single-tenant isolatie, ingebouwde WAF en IDS, en one-click updates betekenen dat het aanvalsoppervlak het deel is dat Kiteworks beheerst — niet een derde-partij-tool die klanten zelf moeten beveiligen. Toen Log4Shell toesloeg in 2021, veranderde deze architectuur een industriebrede CVSS 10 in een CVSS 4 voor Kiteworks-klanten. Hetzelfde ontwerpprincipe geldt voor Mercor-achtige incidenten: een gecompromitteerde afhankelijkheid kan geen data bereiken die het platform specifiek isoleert van derde-partij tooling.

Het Kiteworks Private Data Network breidt deze architectuur uit over elk kanaal voor gegevensuitwisseling — e-mail, bestandsoverdracht, SFTP, MFT, API’s, webformulieren — onder één beleidssysteem en één geconsolideerde auditlog.

Wat organisaties moeten doen vóór de volgende AI supply chain-onthulling

Ten eerste inventariseer de AI-tools die gevoelige data aanraken. De meeste organisaties kunnen de AI-bibliotheken, frameworks en orkestratietools waarop hun technische en data science-teams vertrouwen, niet benoemen. Volgens de Kiteworks 2026 Forecast heeft 51% al AI-agents in productie, maar governance en beheersmaatregelen lopen 15–20 procentpunten achter op inzet. De inventarisatie is de voorwaarde voor elke volgende stap.

Ten tweede behandel AI-tools als een gereguleerde software supply chain. SBOM-beheer voor AI-afhankelijkheden, continue monitoring op compromitteringsindicatoren in AI-bibliotheken, en ondertekende build-verificatie voor modelartefacten. 72% van de organisaties kan geen betrouwbare softwarecomponenteninventaris produceren — de AI supply chain is nog erger, zonder standaard voor modelattestatie en vrijwel niemand die modelherkomst bijhoudt.

Ten derde sluit het derde-partij IR-gat. 87% van de organisaties mist gezamenlijke IR-draaiboeken met partners en 89% heeft nooit IR geoefend met derde-partijleveranciers. Een Mercor-achtig incident in je supply chain is niet het moment om te ontdekken dat je IR-plan eindigt bij de perimeter.

Ten vierde implementeer AI data governance onafhankelijk van de AI supply chain. ABAC-handhaving op de datalaag, FIPS 140-3 gevalideerde encryptie, manipulatiebestendige auditlogging en cryptografisch geauthenticeerde agentidentiteit. Deze maatregelen blijven werken wanneer de AI-tool gecompromitteerd is — precies wanneer supply chain-governance faalt.

Ten vijfde eis bewijs van auditkwaliteit van elke AI-workflow. Een toezichthouder die een derde-partij AI-compromittering onderzoekt, accepteert niet “de leverancier zei dat onze data niet is blootgesteld” als bewijs. 33% van de organisaties mist audittrails van bewijskwaliteit volgens de Kiteworks 2026 Forecast. Dat gat wordt een bevinding zodra een Mercor-achtig incident je data raakt.

Het venster tussen onthulling en het volgende incident sluit snel. Organisaties die wachten op bewijs voordat ze handelen, zullen zelf het bewijs leveren.

Wil je meer weten over het beschermen van je gevoelige data tegen AI supply chain-kwetsbaarheden? Plan vandaag nog een demo op maat.

Veelgestelde vragen

Het Mercor-datalek laat zien dat een gecompromitteerde AI-bibliotheek klantdata weken voor bekendmaking kan bereiken. Als je pipeline gereguleerde data verwerkt, toont de Kiteworks 2026 Forecast dat 84% van de organisaties geen geautomatiseerde kill switches voor partner-toegang heeft. Datalaag-governance met ABAC-handhaving past controles toe tussen de AI-bibliotheek en de data, ongeacht upstream-compromittering — de Secure MCP Server handhaaft het beleid voordat er data wordt teruggegeven.

HIPAA vereist gelogde handhaving van toegang door geautoriseerd personeel, ongeacht hoe toegang wordt gemedieerd. De AI Data Gateway handhaaft ABAC-beleid, FIPS 140-3 encryptie en manipulatiebestendige auditlogging op de datalaag — onafhankelijk van welke AI-bibliotheek de data aanroept. Een gecompromitteerde orkestratietool kan de geauthenticeerde gebruikersrechten niet overschrijden.

Volgens de SEC-cybersecurityregels moeten materiële incidenten binnen vier werkdagen na vaststelling van materialiteit worden gemeld — inclusief incidenten die ontstaan bij derde-partijleveranciers. Het Black Kite 2026-rapport toont een mediane bekendmakingstijd van 73 dagen, wat betekent dat de meeste organisaties pas na materiële impact horen van supply chain-datalekken. Manipulatiebestendige audittrails zijn essentieel voor snelle, verdedigbare materialiteitsbeoordeling.

CMMC Level 2 access control-families vereisen afgedwongen autorisatie en audit voor alle CUI-toegang — inclusief door AI-agents die derde-partijtools gebruiken. De Kiteworks 2026 Forecast toont dat slechts 46% van de DIB-organisaties zichzelf voorbereid acht op CMMC. Datalaag-governance met cryptografische agentidentiteit, ABAC-handhaving en FIPS 140-3 encryptie voldoet aan AC-, AU- en IA-controles, ongeacht de integriteit van de AI-tool.

Je kunt de supply chain niet auditen op het tempo waarop deze verandert — je moet eronder governance toepassen. Inventariseer AI-tools die gevoelige data aanraken, implementeer datalaag-handhaving onafhankelijk van de toolchain en eis manipulatiebestendige auditlogs voor elke AI-data-opvraging. Het Kiteworks Private Data Network verkleint de gevolgen van dat gat door ervoor te zorgen dat zelfs een gecompromitteerde afhankelijkheid beleidshandhaving tegenkomt voordat gereguleerde data wordt bereikt.

Aanvullende bronnen

  • Blog Post Hoe klinische proefdata te beschermen in internationaal onderzoek
  • Blog Post De CLOUD Act en Britse gegevensbescherming: waarom rechtsbevoegdheid ertoe doet
  • Blog Post Zero Trust Data Protection: implementatiestrategieën voor verbeterde beveiliging
  • Blog Post Data Protection by Design: hoe je GDPR-controles in je MFT-programma bouwt
  • Blog Post Hoe je datalekken voorkomt met beveiligde bestandsoverdracht over grenzen heen

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks