- april 2026 dukket Mercor opp på Lapsus$ sin lekkasje-side med rundt fire terabyte data, ifølge analysen ORAVYS publiserte denne uken. Wired bekrefter samme uke at Meta har pauset alt arbeid med Mercor som følge av bruddet. Dataene stammer fra onboarding-pipelinen for KI-treningskontraktører: pass eller førerkort, et selfie-bilde, og en sittende stemmeopptak-sesjon med skriptede setninger lest i et stille rom.
Det som skiller dette fra tidligere stemmelekkasjer er kombinasjonen. Tidligere har enten call center-opptak (uten identitet) eller ID-broker-lekkasjer (uten lyd) blitt eksponert. Mercor leverte begge i samme database-rad. Wall Street Journal rapporterte i februar at moderne voice cloning krever rundt 15 sekunder ren referanselyd. Mercor-opptakene er på 2-5 minutter i studio-kvalitet per kontraktør.
«Du kan ikke rotere stemmen din slik du roterer et passord, men du kan endre hva den låser opp.» — ORAVYS-analysen, 27. april 2026
For norske utviklere som bygger agenter eller automatisering rundt taleinngang er konsekvensen praktisk. Pindrop rapporterte 475 prosent økning i syntetiske stemmeangrep mot forsikrings-call centers i 2025. Hvis appen din bruker stemme som autentisering eller verifisering, er trusselbildet nå konkret nok til at dere må anta klonet stemme i trusselmodellen.
Hva bør du gjøre?
- Slå av voiceprint som autentiseringsfaktor der du har det aktivt: Google Voice Match, Alexa Voice ID, Apple Personal Voice og bank-voiceprint. Slett enrollet stemme og erstatt med MFA-token.
- Avtal et verbalt kodeord med familie og økonomiske kontakter. Bruk en frase som aldri er sagt på opptak eller skrevet i chat.
- Sjekk din egen offentlige lyd-fotavtrykk på YouTube, podkaster og gamle Zoom-opptak. Jo mindre referanselyd som er offentlig indekserbart, jo svakere blir en angripers klone.