Vercel 與 GitHub 確認 npm 供應鏈安全，套件未被篡改

Vercel 官方帳號於 2026 年 4 月 21 日宣布，與 GitHub、Microsoft、npm 及 Socket 四方聯合核查後，確認 Vercel 在 npm 上發布的所有套件均未遭篡改，供應鏈仍安全；同日更新的安全公告指出，此次事件中遭洩露的為未標記為「敏感」的客戶環境變數，在後端解密後以明文形式存儲。

npm 套件未受篡改：四方聯合核查結果

根據 Vercel 2026 年 4 月 21 日的公告，Vercel 已與 GitHub、Microsoft、npm 及 Socket 完成聯合核查，確認 Vercel 在 npm 上維護的所有開源套件均未遭篡改。上述套件包括 Next.js、Turbopack 及 SWR 等，合計月下載量以億次計。

安全事件起因與受影響範圍

根據 Vercel 執行長 Guillermo Rauch 的聲明，一名員工帳號因 Context.ai 平台遭入侵而外洩；Context.ai 已與 Vercel 環境整合並獲授部署層級 Google Workspace OAuth 權限，攻擊者在 Context.ai 被攻破後藉此取得特權訪問，並透過枚舉 Vercel 環境資源進一步擴大訪問範圍。

根據更新後的安全公告，遭洩露的為未標記為「敏感」的客戶環境變數（後端解密後以明文存儲）；是否有更多數據被帶走，Vercel 仍在調查。公告同時說明，刪除 Vercel 項目或帳號本身不能消除風險，攻擊者取得的憑證仍可直連生產系統，必須優先完成金鑰輪換。

Vercel 表示，受影響的客戶數量有限，涉及多家機構的數百名用戶；尚未接獲通知的用戶目前無理由認為其 Vercel 帳號憑證或個人資料已被洩露。Vercel 正與 Mandiant、其他網路安全公司及執法部門合作進行調查。

產品更新與客戶行動建議

根據 Vercel 安全公告，4 月 21 日同步推出的產品更新包括：新建環境變數預設改為「敏感」（sensitive: on）；Dashboard 新增更密集的活動日誌界面及團隊級環境變數管理；安全建議中「啟用雙因素認證」被列為首要事項。

Vercel 對客戶的具體行動建議如下：

· 在 Google Workspace 帳號活動中檢查 Vercel 指定的 OAuth 應用

· 輪換所有含 API 金鑰、令牌、資料庫憑證或簽名金鑰的環境變數（即使此前標記為非敏感）

· 啟用敏感變數保護，並檢查近期部署是否有異常

常見問題

Vercel 在 npm 上的套件是否遭到篡改？

根據 Vercel 2026 年 4 月 21 日的公告，Vercel 已與 GitHub、Microsoft、npm 及 Socket 四方聯合核查，確認 Next.js、Turbopack 及 SWR 等所有套件均未遭篡改，供應鏈安全完整。

此次 Vercel 安全事件的起因是什麼？

根據 Vercel 執行長 Guillermo Rauch 的聲明，攻擊起點為第三方 AI 工具 Context.ai 遭入侵，Context.ai 此前已被授予 Vercel 環境的部署層級 Google Workspace OAuth 權限，攻擊者藉此獲得特權訪問並進一步枚舉 Vercel 環境資源。

受影響的 Vercel 用戶應優先採取哪些行動？

根據 Vercel 安全公告，受影響用戶應優先輪換所有包含 API 金鑰、令牌、資料庫憑證或簽名金鑰的環境變數；公告同時說明，刪除項目或帳號不能替代金鑰輪換，攻擊者取得的憑證仍可直連生產系統。