Mensagem do Gate News, 23 de abril — A Vercel divulgou a 19 de abril que o seu incidente de segurança, inicialmente descrito como afetando um “conjunto limitado de clientes”, se expandiu para uma comunidade de programadores muito mais vasta, em particular aqueles que criam fluxos de trabalho de agentes de IA. O ataque pode afetar centenas de utilizadores em várias organizações, não se limitando apenas à Vercel, mas potencialmente afetando a indústria tecnológica mais alargada.
A violação teve origem quando um empregado da Context.ai foi infetado com malware Lumma Stealer após descarregar um script de Roblox Auto-farm e ferramentas de exploração de jogos. O malware comprometeu as credenciais de início de sessão do Google Workspace do empregado e chaves de acesso para plataformas incluindo Supabase, Datadog e Authkit. O atacante usou então um token OAuth roubado para aceder à conta do Google Workspace da Vercel, que tinha sido criada com uma conta empresarial da Vercel com permissões “allow all”. Uma vez lá dentro, o atacante descodificou variáveis de ambiente não sensíveis, embora os dados sensíveis tenham permanecido protegidos devido às salvaguardas de armazenamento da Vercel.
Os programadores de IA enfrentam um risco acrescido porque, com frequência, armazenam credenciais críticas—como chaves de API da OpenAI ou Anthropic, strings de ligação de bases de dados vetoriais, segredos de webhooks e tokens de ferramentas de terceiros—em variáveis de ambiente sem as marcar manualmente como sensíveis. Estas credenciais não são sinalizadas automaticamente pelo sistema, ficando expostas a potenciais fugas.
Em resposta, a Vercel atualizou a sua plataforma para que todas as novas variáveis de ambiente criadas sejam marcadas como sensíveis por defeito. A equipa de segurança da empresa partilhou o identificador único da app OAuth comprometida, instando os administradores do Google Workspace a analisarem os registos de acesso. A Context.ai, com apoio do CTO da Nudge Security, Jaime Blasco, detetou uma concessão adicional de permissões OAuth com acesso ao Google Drive e alertou imediatamente os clientes afetados com passos de remediação.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
A Vercel disponibiliza em open-source o framework deepsec, com mais de 1.000 de concorrência em sandbox para a verificação local de segurança de IA
De acordo com Beating, a Vercel abriu o código-fonte do deepsec, uma framework de testes de segurança orientada por IA que permite aos programadores analisar grandes bases de código localmente, sem expor o código-fonte a serviços de cloud externos. A framework utiliza um fluxo de verificação em várias etapas: após o primeiro filtro por regex, um
GateNews2h atrás
Token AWP do Agent Work Protocol dispara mais de 300% em 24 horas; A subnet de inscrição Ardinals é lançada
De acordo com dados on-chain, o token nativo AWP do Agent Work Protocol disparou mais de 300% em 24 horas, a 4 de maio. AWP é um protocolo de trabalho para AI Agents, com um fair launch 100% sem alocação para VC, reserva da equipa nem pré-venda; todos os tokens são distribuídos através da emissão do protocolo. O protocolo tem
GateNews13h atrás
A Haun Ventures encerra um fundo de 1 mil milhões de dólares a 4 de maio, dividindo o capital entre investimentos cripto em fase inicial e em fase tardia
Segundo a Bloomberg, a Haun Ventures concluiu uma ronda de angariação de 1 mil milhões de dólares a 4 de maio, com 500 milhões de dólares destinados a investimentos em fase inicial e 500 milhões de dólares a investimentos em fase tardia. O fundo irá alocar capital nos próximos dois a três anos, com foco em startups de criptomoedas e de blockchain, enquanto expande
GateNews14h atrás
A China bloqueia a aquisição da US$2B Manus AI da Meta
A China anunciou que está a bloquear a aquisição de 2 mil milhões de dólares da Meta da empresa de agentes de IA Manus, citando preocupações com a transferência de propriedade intelectual de inteligência artificial chinesa para uma empresa dos EUA, segundo a informação da Tech in Asia.
Manus, uma empresa fundada na China que mudou a sede para
CryptoFrontier05-04 02:12
A Nous Research lança o agente Hermes v0.12.0 com o sistema de colaboração multi-agente Kanban
De acordo com a Beating, a framework open-source Hermes Agent da Nous Research introduziu, na versão v0.12.0, um sistema de colaboração multi-agente tipo Kanban. O sistema permite que os agentes funcionem como processos independentes, reclamando e executando tarefas autonomamente a partir de uma board de tarefas partilhada em paralelo, substituindo
GateNews05-04 01:17
Investigadores Implementam a tecnologia DPN-LE para Editar Traços de Personalidade de IA, Editando Apenas 0,5% dos Neurónios
De acordo com a BlockBeats, a 3 de maio, o investigador de IA Brian Roemmele revelou que a sua Zero-Human Company implementou a tecnologia DPN-LE (Dual Personality Neuron Localization and Editing) para ajustar com precisão
GateNews05-03 14:05
