CEO Vercel Guillermo Rauch mengungkapkan perkembangan penyelidikan di platform X, mengonfirmasi bahwa platform AI pihak ketiga yang digunakan karyawan Vercel, Context.ai, telah disusupi. Penyerang memperoleh kredensial akun karyawan melalui integrasi Google Workspace OAuth dari platform tersebut, lalu mengakses sebagian lingkungan internal Vercel dan variabel lingkungan yang tidak diberi label sebagai “sensitif”.
Rantai Serangan: dari Infiltrasi OAuth Alat AI hingga Penyusupan Bertahap ke Lingkungan Vercel
Berdasarkan penyelidikan Vercel, jalur serangan dibagi menjadi tiga tahap peningkatan bertahap. Pertama, aplikasi Google Workspace OAuth Context.ai sebelumnya telah disusupi dalam serangan rantai pasokan berskala lebih besar, yang kemungkinan memengaruhi ratusan pengguna di beberapa organisasi. Kedua, penyerang, melalui kompromi Context.ai, mengendalikan akun Google Workspace karyawan Vercel, lalu menggunakan kredensialnya untuk masuk ke sistem internal Vercel. Ketiga, melalui metode enumerasi, penyerang memperoleh hak akses tambahan dengan memanfaatkan variabel lingkungan yang tidak diberi label sebagai “sensitif”.
Rauch dalam pengumumannya menyatakan bahwa kecepatan tindakan penyerang “sangat mengagetkan”, pemahamannya terhadap sistem Vercel “sangat mendalam”, dan menilai bahwa kemungkinan besar mereka memanfaatkan alat AI untuk meningkatkan efisiensi serangan secara signifikan.
Batas Keamanan Variabel Lingkungan “Sensitif” dan “Non-Sensitif”
Insiden ini mengungkap detail penting tentang mekanisme keamanan variabel lingkungan Vercel: variabel lingkungan yang diberi label “sensitif” disimpan dengan cara yang mencegah pembacaan, dan hingga saat ini penyelidikan belum menemukan adanya akses terhadap nilai-nilai tersebut. Yang dimanfaatkan oleh pelaku adalah variabel lingkungan yang tidak diberi label “sensitif”; melalui metode enumerasi, penyerang berhasil memperoleh hak akses tambahan dari sana.
Vercel telah menambahkan halaman gambaran variabel lingkungan dan antarmuka manajemen variabel lingkungan sensitif yang ditingkatkan, untuk membantu pelanggan mengidentifikasi dan melindungi nilai konfigurasi bernilai risiko tinggi dengan lebih jelas.
Respons Darurat Vercel dan Daftar Rekomendasi Tindakan Resmi
Vercel telah mengontrak Google Mandiant, perusahaan keamanan siber lainnya, serta memberi tahu pihak penegak hukum untuk turun tangan. Next.js, Turbopack, dan proyek open source Vercel semuanya telah dikonfirmasi aman melalui analisis rantai pasokan; layanan platform saat ini berjalan normal.
Tindakan Keamanan Pelanggan yang Direkomendasikan Secara Resmi
Periksa log aktivitas: Tinjau log aktivitas untuk akun dan lingkungan, identifikasi aktivitas mencurigakan
Rotasi variabel lingkungan: Variabel lingkungan yang berisi informasi rahasia (kunci API, token, kredensial basis data, kunci penandatanganan) tetapi tidak diberi label sebagai sensitif harus dianggap berpotensi sudah bocor dan diutamakan untuk rotasi
Aktifkan fitur variabel lingkungan sensitif: Pastikan semua nilai konfigurasi rahasia diberi label sebagai “sensitif” dengan benar
Tinjau deployment terbaru: Selidiki deployment yang tidak normal dan hapus versi yang mencurigakan
Atur perlindungan deployment: Pastikan minimal disetel ke tingkat “standar”, dan lakukan rotasi token perlindungan deployment
Pertanyaan yang Sering Diajukan
Apa itu Context.ai, dan bagaimana ia menjadi pintu masuk serangan kali ini?
Context.ai adalah alat AI pihak ketiga kecil yang menggunakan integrasi Google Workspace OAuth, digunakan oleh karyawan Vercel untuk pekerjaan sehari-hari. Penyelidikan menunjukkan bahwa aplikasi OAuth dari alat tersebut sebelumnya disusupi dalam serangan rantai pasokan yang lebih luas, yang kemungkinan memengaruhi ratusan pengguna dari beberapa organisasi; kredensial akun karyawan Vercel direbut oleh penyerang selama proses ini.
Apakah variabel lingkungan yang ditandai sebagai “sensitif” terpengaruh?
Saat ini, penyelidikan belum menemukan bukti bahwa variabel lingkungan yang ditandai sebagai “sensitif” telah diakses. Variabel jenis ini disimpan dengan cara khusus untuk mencegah pembacaan. Pelaku menggunakan variabel lingkungan yang tidak diberi label sebagai “sensitif”; melalui metode enumerasi, penyerang berhasil memperoleh hak akses tambahan dari sana.
Bagaimana pelanggan Vercel dapat memastikan apakah mereka terpengaruh?
Jika Anda tidak menerima kontak langsung dari Vercel, Vercel menyatakan tidak ada alasan saat ini untuk meyakini bahwa kredensial atau data pribadi pelanggan yang terkait telah disusupi. Vercel menyarankan agar semua pelanggan secara proaktif meninjau log aktivitas, melakukan rotasi variabel lingkungan yang tidak diberi label sebagai sensitif, serta mengaktifkan fitur variabel lingkungan sensitif dengan benar. Jika Anda memerlukan dukungan teknis, hubungi Vercel melalui vercel.com/help.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
CEO Qualcomm Bertemu Samsung, SK Hynix, LG tentang Pasokan Memori dan Kemitraan AI
Pesan dari Gate News, 21 April — CEO Qualcomm Cristiano Amon baru-baru ini bertemu dengan para eksekutif dari Samsung Electronics, SK Hynix, dan LG Electronics untuk membahas pasokan memori, manufaktur chip, dan kemitraan AI. Pembahasan berfokus pada mengatasi pasokan memori LPDDR Qualcomm yang ketat ketika permintaan untuk memori server AI terus meningkat
GateNews32menit yang lalu
Bundesbank Memperingatkan Model Mythos Anthropic Dapat Mengekspos Titik Lemah dalam Sistem Perbankan Eropa
Pesan Gate News, 21 April — Presiden Bundesbank Jerman Joachim Nagel memperingatkan pada Selasa bahwa model AI Mythos milik Anthropic menimbulkan risiko keamanan siber yang signifikan bagi institusi keuangan Eropa dan menyerukan akses yang lebih luas terhadap teknologi tersebut. Nagel, yang juga merupakan anggota Dewan Pemerintahan Bank Sentral Eropa
GateNews1jam yang lalu
Ekspor Semikonduktor Korea Selatan Melonjak 182,5% pada Awal April Berkat Permintaan Chip AI
Permintaan AI mendorong ekspor dan laba semikonduktor Korea untuk Samsung dan SK hynix; pengiriman ke China dan AS meningkat. Namun, risiko kebijakan dari tarif AS masih mengintai meski level rekor 2025 tercapai.
Abstrak: Artikel ini melaporkan bahwa ekspor semikonduktor Korea Selatan melonjak pada awal April, didorong oleh permintaan terkait AI yang meningkatkan pengiriman dan laba chip memori untuk Samsung Electronics dan SK hynix. Ekspor naik menjadi US$18,3 miliar pada 1–20 April, dengan total ekspor naik 49,4% menjadi US$50,4 miliar dan surplus perdagangan sebesar US$10,4 miliar. China dan Amerika Serikat menjadi pasar pertumbuhan utama, dan ekspor semikonduktor 2025 mencapai rekor US$173,4 miliar, naik lebih dari 20% dari tahun ke tahun. Namun, ketidakpastian kebijakan tetap ada: tarif AS 25% untuk chip komputasi canggih tertentu dapat memengaruhi sentimen, ekspor chip memori dikecualikan, dan ketegangan di Timur Tengah serta kebijakan tarif global yang lebih luas dapat membebani prospek.
GateNews1jam yang lalu
Ekonom menyebutkan peluang kerja setelah gelombang pengangguran akibat AI: nilai kelangkaan beralih ke “layanan emosional”
Imas menunjukkan bahwa AI tidak akan sepenuhnya menggantikan tenaga manusia, melainkan memindahkan kelangkaan menjadi ekonomi yang berpusat pada emosi dan relasi. Eksperimen Starbucks mengungkap kelemahan otomatisasi, dan retensi pelanggan bergantung pada cara memperlakukan tamu serta suasana. Transformasi struktur historis dan fenomena Baumol menjelaskan bahwa AI menurunkan harga produk berbasis standardisasi, sehingga kelangkaan bergeser menuju nilai persepsi tinggi yang memerlukan interaksi interpersonal. Titik fokus di masa depan ada pada layanan emosional dan bidang seperti buatan tangan, tetapi isu distribusi global dan pendapatan dasar masih perlu diselesaikan.
ChainNewsAbmedia1jam yang lalu
Artefak Claude Live: Dasbor terhubung langsung ke Aplikasi, pembaruan otomatis secara real-time
Berdasarkan pengumuman resmi X dari Claude, Anthropic meluncurkan fitur Live Artifacts di Cowork aplikasi desktop Claude pada 20 April, memungkinkan grafik, dasbor, dan pelacak yang dihasilkan AI untuk langsung terhubung dengan aplikasi dan file pengguna, serta otomatis diperbarui dengan data terbaru saat dibuka. Live Artifacts dibuka untuk pengguna Cowork dari semua paket berbayar Claude (Pro, Max, Team, Enterprise).
Fitur inti Live Artifacts: dari output statis hingga keterhubungan secara real-time
Di masa lalu, setelah Claude Artifacts dihasilkan, keduanya langsung terlepas dari kenyataan—jika pengguna ingin memperbarui data, satu-satunya cara adalah menempelkan ulang data, lalu meminta Claude menghasilkan ulang. L
ChainNewsAbmedia1jam yang lalu
Startup Penyimpanan AI Korea Selatan Dnotitia Menggalang Pendanaan Seri A Senilai $61.2M
Pesan dari Gate News, 21 April — startup penyimpanan AI asal Korea Selatan Dnotitia menggalang 90 miliar won (US$61.2 juta) dalam putaran pendanaan Seri A yang dipimpin oleh Elohim Partners. Kiwoom Investment dan Shinhan Venture Investment juga ikut berpartisipasi dalam putaran tersebut.
Produk utama Dnotitia adalah database vektor Seahorse
GateNews1jam yang lalu
