Gate Newsメッセージ、4月23日—Vercelは4月19日、当初「限られた顧客の一部に影響している」と説明されていた同社のセキュリティインシデントが、特にAIエージェントのワークフローを構築している人々を中心とする、はるかに広範な開発者コミュニティにまで拡大したことを明らかにしました。攻撃は複数の組織にまたがり数百人のユーザーに影響する可能性があり、Vercelに限らず、より広いテクノロジー業界に波及する可能性があります。
侵害の発端は、Context.aiの従業員がRobloxのオートファーム用スクリプトとゲームのエクスプロイトツールをダウンロードした後にLumma Stealerマルウェアに感染したことでした。このマルウェアは、当該従業員のGoogle Workspaceのログイン認証情報と、Supabase、Datadog、Authkitを含むプラットフォームへのアクセスキーを侵害しました。続いて攻撃者は、盗んだOAuthトークンを使ってVercelのGoogle Workspaceアカウントにアクセスしました。このアカウントは、 「すべて許可(allow all)」権限を持つVercelエンタープライズアカウントを用いて作成されていました。侵入後、攻撃者は非機密の環境変数を復号しましたが、機密データはVercelのストレージ保護策により保護されていました。
AI開発者のリスクが高いのは、OpenAIまたはAnthropicのAPIキー、ベクターデータベースの接続文字列、Webhookのシークレット、サードパーティのツールトークンなどの重要な認証情報を、機密として手動で明示することなく、環境変数に保存することが一般的だからです。これらの認証情報はシステムによって自動的にフラグ付けされないため、露出の脆弱性が残ります。
これに対応してVercelは、作成されたすべての新しい環境変数がデフォルトで機密としてマークされるようにプラットフォームを更新しました。同社のセキュリティチームは、侵害されたOAuthアプリの固有識別子を共有し、Google Workspaceの管理者に対してアクセスログを監査するよう促しました。Context.aiは、Nudge SecurityのCTO Jaime Blascoの協力を得て、Google Driveへのアクセス権を含む追加のOAuth権限付与を検知し、ただちに対応手順とともに影響を受けた顧客に警告しました。
免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は
免責事項をご参照ください。
関連記事
モールス符号でAIエージェントをだます!ハッカーがGrokとBankrBotをだまして送金させ、17万ドルの暗号資産を手に入れた
XプラットフォームでAIエージェントの脆弱性が露見:攻撃者はBankr Club NFTを入手してGrokウォレットの送金権限を得たうえで、モールス符号の指令によってBankrBotを人の審査なしで送金させ、約3億DRBを持ち去った。時価総額は約17.5万米ドル。問題はBankrBotのアーキテクチャがAIの出力を許可として扱っていない点にある。資金は回収済みで、APIキーやIPホワイトリストなどの防護を強化する。
ChainNewsAbmedia18分前
Vercelがディープセックをオープンソース化:ローカルAI向けセキュリティスキャン用に1,000+のサンドボックス並行性を実現
Beatingによると、Vercelは、AI駆動のセキュリティテストフレームワークであるdeepsecをオープンソース化している。このフレームワークにより、開発者は、ソースコードを外部のクラウドサービスに公開することなく、大規模なコードベースをローカルでスキャンできる。さらに、このフレームワークは、複数段階の検証ワークフローを採用しており、初期の正規表現によるフィルタリングの後に、
GateNews3時間前
エージェント・ワーク・プロトコル・トークン(AWP)が24時間で300%超の急騰。Ardinalsのインスクリプション・サブネットがローンチ。
オンチェーンデータによると、5月4日の過去24時間でAgent Work ProtocolのネイティブトークンであるAWPが300%超上昇しました。AWPはAIエージェント向けのワークプロトコルで、VCの割り当て、チームリザーブ、またはプレセールがない100%フェアローンチを特徴としています。すべてのトークンはプロトコルのエミッションによって配布されます。このプロトコルは
GateNews14時間前
ハウン・ベンチャーズは5月4日に10億ドルのファンドをクローズし、暗号資産投資をアーリーステージとレイトステージに分けて資本を配分する
ブルームバーグによると、Haun Venturesは5月4日に10億ドル規模の資金調達ラウンドを完了し、そのうち早期段階に5億ドル、後期段階の投資に5億ドルが割り当てられた。ファンドは今後2〜3年にわたり資本を投入し、暗号資産およびブロックチェーンのスタートアップを対象にするとともに拡大していく。
GateNews15時間前
中国、Metaの US$2B Manus AI 買収を阻止
中国は、Tech in Asiaの報道によれば、中国の人工知能の知的財産が米国企業に移転されることへの懸念を理由に、MetaによるAIエージェント企業Manusの20億米ドルの買収を差し止めると発表した。
Manusは、中国発の企業で、本社を移転して
CryptoFrontier05-04 02:12
Nous Researchは、Kanbanマルチエージェント協働システムを搭載したHermes Agent v0.12.0をリリースします
Beating によると、Nous Research のオープンソース Hermes Agent フレームワークは、v0.12.0 で Kanban のマルチエージェント協調システムを導入しました。このシステムでは、エージェントが独立したプロセスとして動作し、共有されたタスクリストからタスクを自律的に引き受けて並行して実行でき、これまでのものに取って代わります。
GateNews05-04 01:17
