Mensaje de Gate News, 23 de abril — Vercel reveló el 19 de abril que su incidente de seguridad, inicialmente descrito como que afectaba a un “subconjunto limitado de clientes”, se ha expandido a una comunidad de desarrolladores mucho más amplia, en particular a quienes construyen flujos de trabajo de agentes de IA. El ataque podría afectar a cientos de usuarios en varias organizaciones, no limitándose a Vercel únicamente, sino potencialmente impactando a la industria tecnológica en general.
La brecha se originó cuando un empleado de Context.ai se infectó con malware Lumma Stealer después de descargar un script de Roblox para auto-farming y herramientas de explotación del juego. El malware comprometió las credenciales de inicio de sesión de Google Workspace del empleado y las claves de acceso a plataformas que incluyen Supabase, Datadog y Authkit. Luego, el atacante usó un token OAuth robado para acceder a la cuenta de Google Workspace de Vercel, que se había creado usando una cuenta empresarial de Vercel con permisos de “permitir todo”. Una vez dentro, el atacante descifró variables de entorno no sensibles, aunque los datos sensibles permanecieron protegidos debido a las salvaguardas de almacenamiento de Vercel.
Los desarrolladores de IA enfrentan un riesgo elevado porque comúnmente almacenan credenciales críticas —como claves de API de OpenAI o Anthropic, cadenas de conexión de bases de datos vectoriales, secretos de webhooks y tokens de herramientas de terceros— en variables de entorno sin marcarlas manualmente como sensibles. Estas credenciales no son señaladas automáticamente por el sistema, dejándolas vulnerables a la exposición.
En respuesta, Vercel actualizó su plataforma para que todas las variables de entorno recién creadas se marquen como sensibles de forma predeterminada. El equipo de seguridad de la empresa compartió el identificador único de la app OAuth comprometida, instando a los administradores de Google Workspace a auditar los registros de acceso. Context.ai, con la ayuda del CTO de Nudge Security, Jaime Blasco, detectó un permiso adicional de OAuth con acceso a Google Drive y alertó de inmediato a los clientes afectados con pasos de remediación.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
Vercel abre el código del framework deepsec con 1.000+ concurrencia de sandbox para el escaneo local de seguridad de IA
Según Beating, Vercel ha hecho de código abierto deepsec, un marco de pruebas de seguridad impulsado por IA que permite a los desarrolladores escanear grandes bases de código localmente sin exponer el código fuente a servicios en la nube externos. El marco utiliza un flujo de verificación de varias etapas: después del filtrado inicial por regex, un
GateNewshace2h
El Token del Protocolo de Trabajo del Agente AWP se dispara más de un 300% en 24 horas; la subred de inscripción de Ardinals se lanza
De acuerdo con datos on-chain, el token nativo AWP de Agent Work Protocol se disparó más de 300% en 24 horas el 4 de mayo. AWP es un protocolo de trabajo para agentes de IA, con un lanzamiento justo del 100% sin asignación de VC, reserva del equipo ni preventa; todos los tokens se distribuyen mediante la emisión del protocolo. El protocolo tiene
GateNewshace13h
Haun Ventures cierra un fondo de 1 billón el 4 de mayo, y divide el capital entre inversiones cripto en etapas tempranas y tardías
Según Bloomberg, Haun Ventures completó una ronda de recaudación de fondos de 1 billón de dólares el 4 de mayo, con 500 millones destinados a inversiones en etapa inicial y 500 millones a inversiones en etapa avanzada. El fondo desplegará capital durante los próximos dos a tres años, con foco en startups de criptomonedas y blockchain mientras se expande
GateNewshace14h
China bloquea la adquisición de US$2B Manus AI de Meta
China anunció que está bloqueando la adquisición de Meta por valor de 2.000 millones de dólares de la empresa de agentes de IA Manus, citando preocupaciones sobre la transferencia de propiedad intelectual de inteligencia artificial china a una empresa estadounidense, según informó Tech in Asia.
Manus, una empresa fundada en China que trasladó su sede a
CryptoFrontier05-04 02:12
Nous Research lanza Hermes Agent v0.12.0 con el sistema de colaboración multiagente Kanban
Según Beating, el marco de Hermes Agent de código abierto de Nous Research introdujo un sistema de colaboración multiagente tipo Kanban en la v0.12.0. El sistema permite que los agentes funcionen como procesos independientes, reclamando y ejecutando tareas de forma autónoma desde un tablero de tareas compartido en paralelo, reemplazando
GateNews05-04 01:17
Los investigadores implementan la tecnología DPN-LE para editar los rasgos de personalidad de la IA, modificando solo el 0,5% de las neuronas
Según BlockBeats, el 3 de mayo, el investigador de IA Brian Roemmele reveló que su empresa Zero-Human ha implementado la tecnología DPN-LE (Dual Personality Neuron Localization and Editing) para ajustar con precisión
GateNews05-03 14:05
