Vercel 執行長 Guillermo Rauch 在 X 平台公開披露調查進展,確認 Vercel 員工所使用的第三方 AI 平台 Context.ai 遭入侵。攻擊者透過平台的 Google Workspace OAuth 整合取得員工帳戶憑證,進一步存取 Vercel 部分內部環境和未標記為「敏感」的環境變數。
攻擊鏈:從 AI 工具 OAuth 入侵到 Vercel 環境逐步滲透
根據 Vercel 的調查,攻擊路徑分為三個逐步升級的階段。首先,Context.ai 的 Google Workspace OAuth 應用此前在一場更大規模的供應鏈攻擊中遭到入侵,可能影響多個組織的數百名用戶。其次,攻擊者透過 Context.ai 入侵,控制了 Vercel 員工的 Google Workspace 帳戶,並利用其憑證進入 Vercel 的內部系統。其三,攻擊者通過枚舉手段,利用未被標記為「敏感」的環境變數取得了進一步的存取權限。
Rauch 在公告中指出,攻擊者的行動速度「驚人」,對 Vercel 系統的了解「十分深入」,評估其極可能借助 AI 工具大幅提升了攻擊效率。
「敏感」與「非敏感」環境變數的安全邊界
此次事件揭示了 Vercel 環境變數安全機制的關鍵細節:標記為「敏感」的環境變數以防止讀取的方式存儲,調查目前未發現這些值遭到存取。被攻擊者利用的是未被標記為「敏感」的環境變數,攻擊者透過枚舉手段成功從中取得了額外存取權限。
Vercel 已新增環境變數概覽頁面及改進後的敏感環境變數管理介面,協助客戶更清晰地識別和保護高風險配置值。
Vercel 的緊急應對與官方建議行動清單
Vercel 已聘請 Google Mandiant、其他網路安全公司並通知執法部門介入。Next.js、Turbopack 及 Vercel 開源項目均經供應鏈分析確認安全,平台服務目前正常運作。
官方建議的客戶安全行動
檢視活動日誌:審查帳戶和環境的活動日誌,識別可疑活動
輪換環境變數:凡含機密資訊(API 金鑰、令牌、資料庫憑證、簽署金鑰)但未標記為敏感的環境變數,應視為可能已洩露並優先輪替
啟用敏感環境變數功能:確保所有機密配置值均正確標記為「敏感」
審查近期部署:調查異常部署並刪除可疑版本
設定部署保護:確保至少設定為「標準」級別,並輪換部署保護令牌
常見問題
Context.ai 是什麼,它如何成為此次攻擊的入口?
Context.ai 是一款使用 Google Workspace OAuth 整合的小型第三方 AI 工具,被 Vercel 員工用於日常工作。調查顯示,該工具的 OAuth 應用此前在更廣泛的供應鏈攻擊中遭到入侵,可能影響多個組織的數百名用戶,Vercel 員工的帳戶憑證在此過程中被攻擊者獲取。
Vercel 標記為「敏感」的環境變數是否受影響?
目前調查未發現標記為「敏感」的環境變數遭到存取的證據。這類變數以防止讀取的特殊方式存儲。被攻擊者利用的是未標記為「敏感」的環境變數,攻擊者透過枚舉手段成功從中取得了額外存取權限。
Vercel 客戶如何確認自己是否受到影響?
若未收到 Vercel 的直接聯繫,Vercel 表示目前無理由認為相關客戶的憑證或個人資料已洩露。建議所有客戶主動審查活動日誌、輪換未標記為敏感的環境變數,並正確啟用敏感環境變數功能。如需技術支持,可透過 vercel.com/help 聯繫 Vercel。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
OpenAI 在與 SpaceX 及 Anthropic 的競賽中達成 $1 兆美元準IPO估值
OpenAI 透過鏈上押注接近一個 $1T 隱含的準IPO;隨著 AI 基礎設施成本飆升,SpaceX 和 Anthropic 目標估值相近,推動訂閱收入,同時 Anthropic 面臨定價上的混淆。
GateNews7分鐘前
DeepSeek估值飆升超越$20 Billion,騰訊與阿里巴巴評估投資
DeepSeek尋求 >$20B 作為騰訊/阿里巴巴在討論投資;英偉達警告稱,美國的晶片先進地位可能會被華為削弱;隨著Vast Data的$1B 輪融資以及OpenAI/Anthropic/xAI投資持續推升,AI資金仍在激增。
DeepSeek目標估值超過$20 十億,因其在與騰訊和阿里巴巴的會談中;同時,英偉達警告稱,若將AI模型轉向華為晶片,可能會削弱美國的領先優勢。文章也指出,全球AI融資出現激增,包括Vast Data的$1 十億融資輪,估值為$30 十億,以及對OpenAI、Anthropic和xAI的重大投資。
GateNews2小時前
OpenClaw、Hermes 與 SillyTavern 已確認獲 GLM Coding Plan 支援
智譜 AI 產品經理 Li 宣布 OpenClaw、Hermes 和 SillyTavern 作為支援的 GLM Coding Plan 專案;其他工具將依個案評估。請勿分享憑證,或將訂閱用作 API 存取;遇到錯誤 1313 請聯繫客服。
智譜 AI 產品經理 Li 宣布,OpenClaw、Hermes 和 SillyTavern 已正式列入 GLM Coding Plan 的支援專案,其它工具將依個案評估。該項公告提醒使用者不要分享憑證或將訂閱用作 API 存取,並告知遇到錯誤 1313 的使用者聯繫客服。
GateNews5小時前
Google Cloud 執行長:Gemini 將於 2026 年驅動 Apple 個人化 Siri 的推廣
摘要:Gemini 將在 2026 年為個人化的 Apple Siri 提供動力,並基於 Apple 的 Foundation Models,且在 Gemini 協作推動下;Apple 正在 iOS 27/macOS 27 中測試一款類聊天的 Siri,預定於 2026 年 WWDC 揭曉。
摘要:Google Cloud 的 Gemini 預計將在 2026 年為個人化的 Apple Siri 提供動力,透過將 Gemini 與 Apple 的 Foundation Models 結合,形成約 $1 billion 的合作關係。Apple 正在測試一款重新設計、類聊天的 Siri,應用於 iOS 27/macOS 27,並採用 Dynamic Island 介面及新功能,該內容將於 6 月 8 日的 2026 年 WWDC 揭幕前推出。
GateNews5小時前
SpaceX $60B Cursor 交易助推 SBF 的赦免遊說,因 FTX 的 $200K 持股現已價值達 30 億美元
Gate News 訊息,4月22日——SpaceX 今天宣布與 AI 編碼新創公司 Cursor 建立重大合作,並提供以 $60 billion 收購該公司的選項。該交易為 Sam Bankman-Fried (SBF) 提供了新的彈藥;他目前身陷囹圄,並正力推總統赦免,因為這表明他長久以來一直主張的:FTX 本可達到的潛在價值回收。
在 2022 年 4 月,由 SBF 創立的交易公司 Alameda Research 向 Cursor 的母公司 Anysphere 投資 200,000 美元,取得約 5% 的股權。當 FTX 在 2022 年 11 月崩盤後,破產法院接管了該公司。到 2023 年 4 月,FTX 的破產資產方以 200,000 美元出售了同一筆 5% 股權——金額正是 Alameda 當初投入的數字。根據 SpaceX 今天公布的 billion 評價,這 5% 股權如今將約值 billion,代表 15,000 倍回報。
SBF 長期以來一直表示,FTX 並非真正資不抵債,且破產律師透過過早清算資產摧毀了價值。到 2026 年 2 月,他分享了相關預測,暗示 FTX 在資產回收後可能已達到 billion 的淨資產價值。他的父母也一直積極尋求赦免;他們在 3 月出現在 CNN 上,主張 FTX 客戶獲得了全額償付。然而,債權人指出,償付是基於 2022 年的估值,而非目前的市場價格。川普總統已表示他不會赦免 SBF,而預測市場目前估計 2026 年獲赦免的機率僅為 5%。
GateNews5小時前
Chegg 股價暴跌 99%,因 AI 正在顛覆教育科技市場
摘要:Chegg 在線上教育需求帶動下飆升,隨後 AI 工具擾亂其商業模式,導致大規模裁員,股價跌破 2 美元並陷入崩跌;而更廣泛由 AI 推動的轉變也衝擊了加密貨幣礦工與金融科技公司。
摘要:本文探討 Chegg 如何從疫情時代的教育科技寵兒崛起,並在生成式 AI 快速普及之際走向衰落;生成式 AI 能提供快速答案,削弱了 Chegg 的價值主張。文章記錄了 2025 年的裁員,以及股價朝退市方向的暴跌,並將 Chegg 的經歷置於更大範圍的 AI 破壞之中:改變科技與加密領域的格局——比特幣礦工轉向 AI 運營,而以 AI 為原生的策略則重新定義金融科技及其他領域的競爭力。
Crypto Frontier6小時前
