Análise do incidente de segurança da Vercel: ferramenta de IA de terceiros comprometida, levando a acesso não autorizado, sem alterações de dados sensíveis

Odaily星球日报讯 Vercel 公布安全事件分析，支出其部分内部系统遭未授权访问，起因是一名员工使用的第三方 AI 工具 Context.ai 被攻破，攻击者借此接管其 Google Workspace 账户并访问部分环境配置数据。

Preliminarmente, alguns clientes podem ter tido variáveis de ambiente não marcadas como “sensíveis” (como chaves API, tokens, etc.) potencialmente expostas, já foi notificado os usuários relevantes e sugerido a troca imediata de credenciais. Até o momento, não há evidências de que dados marcados como “sensíveis” ou a cadeia de suprimentos (como pacotes npm) tenham sido adulterados.

Vercel afirma que o atacante possui alto nível técnico, já colaborou com Mandiant e várias outras organizações de segurança para investigação, e já reportou às autoridades. Ao mesmo tempo, reforça que os serviços da plataforma continuam operando normalmente, e recomenda aos usuários ativar autenticação multifator, trocar completamente as variáveis de ambiente potencialmente comprometidas, e verificar logs de atividades de contas e registros de implantação para prevenir riscos adicionais.