Группа вымогателей Lapsus$ 4 апреля 2026 года опубликовала файл объемом четыре терабайта с биометрическими данными более 40 000 сотрудников Mercor — платформы, которая нанимает подрядчиков для обучения моделей искусственного интеллекта. Утечка включает записи голоса, сканы документов и селфи для верификации, что спровоцировало пять коллективных исков за десять дней из-за отсутствия предупреждения об использовании голосовых отпечатков в качестве постоянного биометрического идентификатора.
Клонирование голоса из пятнадцатисекундного образца 🎙️
Технический риск заключается в том, что для высококачественного клонирования голоса требуется всего пятнадцать секунд чистого аудио, чтобы воспроизвести голосовую идентичность. Записи Mercor, продолжительностью от двух до пяти минут в оптимальных условиях, предоставляют достаточно материала для создания моделей синтезированного голоса. Это превращает каждый файл в вектор подмены, при этом пострадавшие не могут отозвать свой голосовой отпечаток. В отличие от паролей или физических токенов, голосовая биометрия не имеет механизмов изменения, что усиливает потенциальный ущерб от вымогательства или автоматизированного телефонного мошенничества.
Твой голос больше не твой — это тренировочный файл 🤖
Самое забавное в этой истории — пострадавшие работали над обучением моделей ИИ, а теперь сами стали невольным набором данных для другого вида искусственного интеллекта. Mercor просила их говорить четко, чтобы улучшить алгоритмы, но забыла упомянуть, что их голос больше никогда не будет приватным. С пятнадцатью секундами записи любой скрипт с открытым исходным кодом может имитировать подрядчика, запрашивающего кредит. По крайней мере, если украдут лицо с селфи, можно надеть солнечные очки; для голоса остается только молчание.