CEO Vercel Guillermo Rauch mengungkapkan perkembangan penyelidikan di platform X, mengonfirmasi bahwa platform AI pihak ketiga yang digunakan karyawan Vercel, Context.ai, telah disusupi. Penyerang memperoleh kredensial akun karyawan melalui integrasi Google Workspace OAuth dari platform tersebut, lalu mengakses sebagian lingkungan internal Vercel dan variabel lingkungan yang tidak diberi label sebagai “sensitif”.
Rantai Serangan: dari Infiltrasi OAuth Alat AI hingga Penyusupan Bertahap ke Lingkungan Vercel
Berdasarkan penyelidikan Vercel, jalur serangan dibagi menjadi tiga tahap peningkatan bertahap. Pertama, aplikasi Google Workspace OAuth Context.ai sebelumnya telah disusupi dalam serangan rantai pasokan berskala lebih besar, yang kemungkinan memengaruhi ratusan pengguna di beberapa organisasi. Kedua, penyerang, melalui kompromi Context.ai, mengendalikan akun Google Workspace karyawan Vercel, lalu menggunakan kredensialnya untuk masuk ke sistem internal Vercel. Ketiga, melalui metode enumerasi, penyerang memperoleh hak akses tambahan dengan memanfaatkan variabel lingkungan yang tidak diberi label sebagai “sensitif”.
Rauch dalam pengumumannya menyatakan bahwa kecepatan tindakan penyerang “sangat mengagetkan”, pemahamannya terhadap sistem Vercel “sangat mendalam”, dan menilai bahwa kemungkinan besar mereka memanfaatkan alat AI untuk meningkatkan efisiensi serangan secara signifikan.
Batas Keamanan Variabel Lingkungan “Sensitif” dan “Non-Sensitif”
Insiden ini mengungkap detail penting tentang mekanisme keamanan variabel lingkungan Vercel: variabel lingkungan yang diberi label “sensitif” disimpan dengan cara yang mencegah pembacaan, dan hingga saat ini penyelidikan belum menemukan adanya akses terhadap nilai-nilai tersebut. Yang dimanfaatkan oleh pelaku adalah variabel lingkungan yang tidak diberi label “sensitif”; melalui metode enumerasi, penyerang berhasil memperoleh hak akses tambahan dari sana.
Vercel telah menambahkan halaman gambaran variabel lingkungan dan antarmuka manajemen variabel lingkungan sensitif yang ditingkatkan, untuk membantu pelanggan mengidentifikasi dan melindungi nilai konfigurasi bernilai risiko tinggi dengan lebih jelas.
Respons Darurat Vercel dan Daftar Rekomendasi Tindakan Resmi
Vercel telah mengontrak Google Mandiant, perusahaan keamanan siber lainnya, serta memberi tahu pihak penegak hukum untuk turun tangan. Next.js, Turbopack, dan proyek open source Vercel semuanya telah dikonfirmasi aman melalui analisis rantai pasokan; layanan platform saat ini berjalan normal.
Tindakan Keamanan Pelanggan yang Direkomendasikan Secara Resmi
Periksa log aktivitas: Tinjau log aktivitas untuk akun dan lingkungan, identifikasi aktivitas mencurigakan
Rotasi variabel lingkungan: Variabel lingkungan yang berisi informasi rahasia (kunci API, token, kredensial basis data, kunci penandatanganan) tetapi tidak diberi label sebagai sensitif harus dianggap berpotensi sudah bocor dan diutamakan untuk rotasi
Aktifkan fitur variabel lingkungan sensitif: Pastikan semua nilai konfigurasi rahasia diberi label sebagai “sensitif” dengan benar
Tinjau deployment terbaru: Selidiki deployment yang tidak normal dan hapus versi yang mencurigakan
Atur perlindungan deployment: Pastikan minimal disetel ke tingkat “standar”, dan lakukan rotasi token perlindungan deployment
Pertanyaan yang Sering Diajukan
Apa itu Context.ai, dan bagaimana ia menjadi pintu masuk serangan kali ini?
Context.ai adalah alat AI pihak ketiga kecil yang menggunakan integrasi Google Workspace OAuth, digunakan oleh karyawan Vercel untuk pekerjaan sehari-hari. Penyelidikan menunjukkan bahwa aplikasi OAuth dari alat tersebut sebelumnya disusupi dalam serangan rantai pasokan yang lebih luas, yang kemungkinan memengaruhi ratusan pengguna dari beberapa organisasi; kredensial akun karyawan Vercel direbut oleh penyerang selama proses ini.
Apakah variabel lingkungan yang ditandai sebagai “sensitif” terpengaruh?
Saat ini, penyelidikan belum menemukan bukti bahwa variabel lingkungan yang ditandai sebagai “sensitif” telah diakses. Variabel jenis ini disimpan dengan cara khusus untuk mencegah pembacaan. Pelaku menggunakan variabel lingkungan yang tidak diberi label sebagai “sensitif”; melalui metode enumerasi, penyerang berhasil memperoleh hak akses tambahan dari sana.
Bagaimana pelanggan Vercel dapat memastikan apakah mereka terpengaruh?
Jika Anda tidak menerima kontak langsung dari Vercel, Vercel menyatakan tidak ada alasan saat ini untuk meyakini bahwa kredensial atau data pribadi pelanggan yang terkait telah disusupi. Vercel menyarankan agar semua pelanggan secara proaktif meninjau log aktivitas, melakukan rotasi variabel lingkungan yang tidak diberi label sebagai sensitif, serta mengaktifkan fitur variabel lingkungan sensitif dengan benar. Jika Anda memerlukan dukungan teknis, hubungi Vercel melalui vercel.com/help.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
Morgan Stanley Memproyeksikan AI Agentik Bisa Menambah $32,5B-$60B ke Pasar CPU pada 2030
Morgan Stanley memprediksi lonjakan permintaan CPU pada tahun 2030 dari sistem AI otonom, yang berpotensi menambah hingga $60 miliar ke pasar CPU. Perubahan ini akan memengaruhi investasi pusat data dan kebutuhan memori, sehingga menguntungkan produsen chip besar.
GateNews21menit yang lalu
AI Agents Akan Mengubah Model Perdagangan, Onchain OS Menyusun Fondasi Infrastruktur
Pada Karnaval Web3 Hong Kong 2026, Lennix membahas dampak AI Agents pada perdagangan serta perlunya sistem operasi onchain yang komprehensif. Ia menekankan pentingnya mengintegrasikan keamanan dan efisiensi untuk memfasilitasi pengambilan keputusan yang otonom serta mendorong interaksi pasar yang kolaboratif.
GateNews1jam yang lalu
Kecerdasan Super Rekursif menyelesaikan pendanaan sebesar 500 juta dolar AS, NVIDIA memimpin putaran tersebut
Menurut laporan Financial Times Inggris, perusahaan rintisan kecerdasan buatan (AI) baru di Inggris bernama Recursive Superintelligence yang baru didirikan sekitar empat bulan telah menyelesaikan putaran pendanaan setidaknya US$500 juta, dengan valuasi prainvestasi sebesar US$4 miliar. Putaran ini dipimpin oleh GV (dulu Google Ventures), dengan Nvidia ikut serta sebagai penyangga.
MarketWhisper3jam yang lalu
Trump Menamai Fermi AI, Pusat Data Menghadapi Krisis, CEO Mengundurkan Diri Memicu Kejatuhan Harga Saham
Pidato mendadak CEO Fermi America memicu penurunan harga saham sekitar 20%, dan sejak IPO telah turun total 75%. Perusahaan menghadapi kurangnya penyewa jangkar dan masalah dalam rantai pasokan, sehingga proyek tidak dapat diselesaikan tepat waktu. Di dalam perusahaan muncul berbagai tekanan, para investor mengajukan gugatan, dan pasar mulai menilai ulang risiko dan model bisnis pusat data AI.
MarketWhisper4jam yang lalu
Serikat Hyundai Menuntut Bonus $2 Miliar, Kenaikan Upah di Tengah Kekhawatiran Otomasi AI
Serikat pekerja Hyundai Motor menuntut bonus sebesar 30% dari laba bersih perusahaan tahun 2025, kenaikan gaji dasar, jaminan pekerjaan menghadapi AI, serta bonus pembagian keuntungan bersama dengan perusahaan mitra, mencerminkan tren yang lebih luas dalam perundingan ketenagakerjaan di tengah otomatisasi.
GateNews4jam yang lalu
