Vercel 首席执行官 Guillermo Rauch 在 X 平台公开披露调查进展,确认 Vercel 员工所使用的第三方 AI 平台 Context.ai 遭到入侵。攻击者通过平台的 Google Workspace OAuth 整合获取员工账户凭证,进一步访问 Vercel 部分内部环境以及未标记为“敏感”的环境变量。
攻击链:从 AI 工具 OAuth 入侵到 Vercel 环境逐步渗透
根据 Vercel 的调查,攻击路径分为三个逐步升级的阶段。首先,Context.ai 的 Google Workspace OAuth 应用此前在一场更大规模的供应链攻击中遭到入侵,可能影响多个组织的数百名用户。其次,攻击者通过 Context.ai 入侵,控制了 Vercel 员工的 Google Workspace 帐户,并利用其凭证进入 Vercel 的内部系统。其三,攻击者通过枚举手段,利用未被标记为“敏感”的环境变量取得了进一步的访问权限。
Rauch 在公告中指出,攻击者的行动速度“惊人”,对 Vercel 系统的了解“十分深入”,评估其极可能借助 AI 工具大幅提升了攻击效率。
“敏感”与“非敏感”环境变量的安全边界
此次事件揭示了 Vercel 环境变量安全机制的关键细节:标记为“敏感”的环境变量以防止读取的方式存储,调查目前未发现这些值遭到访问。被攻击者利用的是未被标记为“敏感”的环境变量,攻击者通过枚举手段成功从中取得了额外访问权限。
Vercel 已新增环境变量概览页面及改进后的敏感环境变量管理界面,协助客户更清晰地识别和保护高风险配置值。
Vercel 的紧急应对与官方建议行动清单
Vercel 已聘请 Google Mandiant、其他网络安全公司并通知执法部门介入。Next.js、Turbopack 及 Vercel 开源项目均经供应链分析确认安全,平台服务目前正常运行。
官方建议的客户安全行动
查看活动日志:审查账户和环境的活动日志,识别可疑活动
轮换环境变量:凡含机密信息(API 金钥、令牌、数据库凭证、签署金钥)但未标记为敏感的环境变量,应视为可能已泄露并优先轮替
启用敏感环境变量功能:确保所有机密配置值均正确标记为“敏感”
审查近期部署:调查异常部署并删除可疑版本
设置部署保护:确保至少设置为“标准”级别,并轮换部署保护令牌
常见问题
Context.ai 是什么,它如何成为此次攻击的入口?
Context.ai 是一款使用 Google Workspace OAuth 整合的小型第三方 AI 工具,被 Vercel 员工用于日常工作。调查显示,该工具的 OAuth 应用此前在更广泛的供应链攻击中遭到入侵,可能影响多个组织的数百名用户,Vercel 员工的账户凭证在此过程中被攻击者获取。
Vercel 标记为“敏感”的环境变量是否受影响?
目前调查未发现标记为“敏感”的环境变量遭到访问的证据。这类变量以防止读取的特殊方式存储。被攻击者利用的是未标记为“敏感”的环境变量,攻击者通过枚举手段成功从中取得了额外访问权限。
Vercel 客户如何确认自己是否受到影响?
若未收到 Vercel 的直接联系,Vercel 表示目前没有理由认为相关客户的凭证或个人资料已泄露。建议所有客户主动审查活动日志、轮换未标记为敏感的环境变量,并正确启用敏感环境变量功能。如需技术支持,可通过 vercel.com/help 联系 Vercel。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
Anthropic首席执行官赴白宫破冰:与幕僚长、贝森特会商 Mythos
华尔街日报称,Anthropic 首席执行官 Amodei 4/17 白宫密会,聚焦 Mythos 的国安边界与负责任部署;白宫称会议具建设性,市场视为关系解冻。核心分歧是军方要 Claude 一切合法用途,Anthropic 坚持自家可接受使用政策裁量。双方均表示将持续对话,5月 Mythos 上线前再谈。
鏈新聞abmedia9 分钟前
Google Ironwood TPU:10 倍性能 + 四家合作夥伴对抗 Nvidia
根据 Bloomberg 深度报道与 Google 官方公告,Google 于 4 月 22 日正式扩张自研 AI 晶片阵容:推理专用 Ironwood(第七代 TPU)在 Google Cloud 全面供货,并同步启动与 Broadcom、MediaTek、Marvell、Intel 四家伙伴的下一代设计合作,目标是以定制晶片供应链正面挑战 Nvidia 在 AI 算力市场的主导地位。
Ironwood:第七代 TPU,首次专为推理设计
Ironwood 是 Google TPU 系列第七代产品,也是首款在“训练推理分流”策略下的推理专用晶片。Google 揭露的规格:单晶片峰值效能为 T
鏈新聞abmedia10 分钟前
DeepSeek 洽谈首轮外部融资、估值 200 亿美元:中国 AI 估值新高
根据 彭博 4 月 22 日报道(引 The Information 独家),中国 AI 新创 DeepSeek 正在洽谈首轮外部融资,估值达到 200 亿美元。这是 DeepSeek 自 2023 年成立以来首次对外募资,过去完全由量化对冲基金 High-Flyer Capital Management 通过内部供资。200 亿美元估值也是中国 AI 新创首次进入“百亿美金估值”下半段的里程碑。
融资规模与资金用途
DeepSeek 寻求至少 3 亿美元的首轮融资,200 亿美元估值较稍早 4 月 17 日 The Information 首次披露的“100 亿美元以上”估值再翻倍
鏈新聞abmedia12 分钟前
Google 推出 AI 代理工具,帮助企业自动化任务
Google 透露了用于构建 AI 代理的工具,以自动化任务、跟踪进度并通过专门的代理收件箱来管理工作流程;同时配合 Workspace 的更新,并展望 AI 代理将重塑日常员工的工作惯例。
摘要:Google 发布了用于创建 AI 代理的工具,用于任务自动化、监控其进度并简化工作流程,这表明 Workspace 的更新以及 AI 代理将改变日常工作的未来。
GateNews25 分钟前
Google:AI 生成的 Google 新代码占比 75%
Google 报告称,75% 的新代码由 AI 生成,且超过一半的 ML 计算投资旨在云端业务运营。
摘要:在一份企业更新中,Google 表示,AI 现在大约生成了 75% 的新代码,并且其大部分机器学习计算投资将被投向基于云的业务运营。
GateNews1小时前
Google Cloud 推出面向人工智能的 TPU8T 和 TPU8I 芯片
Gate News 消息,4月22日——Google Cloud 已推出面向人工智能应用的新型 TPU8T 和 TPU8I 芯片。
GateNews1小时前
