Vercel 首席执行官 Guillermo Rauch 在 X 平台公开披露调查进展,确认 Vercel 员工所使用的第三方 AI 平台 Context.ai 遭到入侵。攻击者通过平台的 Google Workspace OAuth 整合获取员工账户凭证,进一步访问 Vercel 部分内部环境以及未标记为“敏感”的环境变量。
攻击链:从 AI 工具 OAuth 入侵到 Vercel 环境逐步渗透
根据 Vercel 的调查,攻击路径分为三个逐步升级的阶段。首先,Context.ai 的 Google Workspace OAuth 应用此前在一场更大规模的供应链攻击中遭到入侵,可能影响多个组织的数百名用户。其次,攻击者通过 Context.ai 入侵,控制了 Vercel 员工的 Google Workspace 帐户,并利用其凭证进入 Vercel 的内部系统。其三,攻击者通过枚举手段,利用未被标记为“敏感”的环境变量取得了进一步的访问权限。
Rauch 在公告中指出,攻击者的行动速度“惊人”,对 Vercel 系统的了解“十分深入”,评估其极可能借助 AI 工具大幅提升了攻击效率。
“敏感”与“非敏感”环境变量的安全边界
此次事件揭示了 Vercel 环境变量安全机制的关键细节:标记为“敏感”的环境变量以防止读取的方式存储,调查目前未发现这些值遭到访问。被攻击者利用的是未被标记为“敏感”的环境变量,攻击者通过枚举手段成功从中取得了额外访问权限。
Vercel 已新增环境变量概览页面及改进后的敏感环境变量管理界面,协助客户更清晰地识别和保护高风险配置值。
Vercel 的紧急应对与官方建议行动清单
Vercel 已聘请 Google Mandiant、其他网络安全公司并通知执法部门介入。Next.js、Turbopack 及 Vercel 开源项目均经供应链分析确认安全,平台服务目前正常运行。
官方建议的客户安全行动
查看活动日志:审查账户和环境的活动日志,识别可疑活动
轮换环境变量:凡含机密信息(API 金钥、令牌、数据库凭证、签署金钥)但未标记为敏感的环境变量,应视为可能已泄露并优先轮替
启用敏感环境变量功能:确保所有机密配置值均正确标记为“敏感”
审查近期部署:调查异常部署并删除可疑版本
设置部署保护:确保至少设置为“标准”级别,并轮换部署保护令牌
常见问题
Context.ai 是什么,它如何成为此次攻击的入口?
Context.ai 是一款使用 Google Workspace OAuth 整合的小型第三方 AI 工具,被 Vercel 员工用于日常工作。调查显示,该工具的 OAuth 应用此前在更广泛的供应链攻击中遭到入侵,可能影响多个组织的数百名用户,Vercel 员工的账户凭证在此过程中被攻击者获取。
Vercel 标记为“敏感”的环境变量是否受影响?
目前调查未发现标记为“敏感”的环境变量遭到访问的证据。这类变量以防止读取的特殊方式存储。被攻击者利用的是未标记为“敏感”的环境变量,攻击者通过枚举手段成功从中取得了额外访问权限。
Vercel 客户如何确认自己是否受到影响?
若未收到 Vercel 的直接联系,Vercel 表示目前没有理由认为相关客户的凭证或个人资料已泄露。建议所有客户主动审查活动日志、轮换未标记为敏感的环境变量,并正确启用敏感环境变量功能。如需技术支持,可通过 vercel.com/help 联系 Vercel。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
Claude 账号遭遇大规模盗刷!台湾、加拿大受害者损失上万元,三步骤立即自保
近期多名 Claude AI 使用者指稱帳戶被 Gift 大量扣款,主要原因是安裝惡意 Chrome 擴充 Start New Tab Search,竊取 cookies 與 session token,攻擊者可繞過密碼與 2FA 進行扣款。受害者遍及台灣、加拿大、美國,Anthropic 介面僅能更新付款方式、無法移除卡片,客服回應不佳。建議立即檢查帳單與擴充,並向 user safety 與 disclosure 提交工單。
鏈新聞abmedia31 分钟前
LG 与英伟达合作开发AI模型,扩展韩国 EXAONE 生态系统
Gate News 消息,4月22日——LG集团和英伟达宣布在4月22日达成合作伙伴关系,双方将联合开发新的AI模型,并扩展 EXAONE 生态系统,这是韩国政府支持的“专有AI基础模型”项目的一部分。
此次合作将把 LG 的 EXAONE 大语言模型与英伟达的 Nemotron 开放生态系统整合,以创建领域特定模型。LG 于4月初发布的 EXAONE 4.5 具备 330 亿参数,并采用非商业许可,其使用仅限于研究与教育;商业部署需要另行协议。该合作也利用英伟达的 NeMo 框架用于模型开发和训练。
韩国的主权AI计划在政府资金支持约 百万美元的情况下推进,目标是在 2027 年前构建具备全球竞争力的AI能力。该项目包括在坡州建设 120,000-GPU 数据中心,以及在主权云和AI基础设施中部署超过 250,000 台英伟达GPU的国家级计划,从而通过区域语言优化和面向特定企业的应用(例如技术文档分析)来使由国家支持的模型具备竞争力。
GateNews34 分钟前
SpaceX 锁定 Cursor 60 亿美元收购期权,联合开发 AI 编码
SpaceX 于 4 月 21 日在 X 平台宣布,与 AI 程序设计新创公司 Cursor(开发商 Anysphere)达成合作,联合开发“全球最佳的程序设计和知识工作人工智能”;根据协议条款,SpaceX 获得今年晚些时候以 600 亿美元收购 Cursor 的期权,若不行使则需支付 100 亿美元作为合作费用。
Market Whisper38 分钟前
Meta 推出监控员工键盘操作训练的 AI,在裁员潮中推出新追踪工具
Meta 于 4 月 21 日宣布,将在美国员工的电脑上安装一款名为“模型能力倡议”(MCI)的新追踪工具,用于捕捉员工的鼠标移动、点击、键盘输入,以及工作屏幕的定期截图,以用于训练能够自主执行工作任务的 AI 代理模型。该举措发生在 Meta 今年已裁员约 2,000 名员工的背景下,引发了员工强烈反应。
Market Whisper41 分钟前
大众汽车将从2026年下半年在中国市场部署AI代理
大众汽车将从2026年下半年开始在中国专属车型中部署车载AI,并携手地平线机器人(Horizon Robotics),实现导航、预约和泊车;旨在提升其在中国的软件领导地位与价格竞争力,到2030年将在中国推出20多款新的电动化车型,并在全球推出50款。
摘要:大众汽车在4月21日于北京举行的活动上宣布,将在2026年下半年起把一名AI助手内嵌到其中国市场车辆中,所使用的是与地平线机器人(Horizon Robotics)共同开发的中国专属电子架构。该AI系统通过执行多步骤任务来超越传统语音助手,例如查找并预约餐厅、提供导航,并协调泊车。大众汽车中国首席执行官拉尔夫·布兰德施泰特(Ralf Brandstätter)表示,该平台是这家汽车制造商战略的一部分,旨在缩小其与本地竞争对手之间的软件差距,并缓解全球最大电动汽车市场中的价格压力。该计划伴随积极的产品推进行动:到2030年将在中国推出20多款电动化新车型、全球推出约50款,表明其在全球电动化推进中重新强调由软件赋能的差异化。
GateNews44 分钟前
Meta在塔尔萨启动 $1B 数据中心建设,创造超过1,000个就业岗位
Gate 新闻消息,4月22日——Meta在4月21日宣布,它已开始在俄克拉荷马州建设一座新的数据中心。该项目价值超过 $1 十亿美元,随着公司扩展面向AI的计算基础设施。该设施是Meta在俄克拉荷马州的首个数据中心,也是其在美国的第28个。
GateNews54 分钟前
