Vercel遭遇数据泄露,客户凭证受到波及

张开发
2026/4/20 22:34:27 15 分钟阅读

最新文章

推荐文章

相关文章

分享文章

Vercel遭遇数据泄露,客户凭证受到波及
网页开发框架Next.js的创建者Vercel近日披露了一起数据泄露事件导致部分客户凭证遭到入侵并将此次事故的源头指向第三方AI工具提供商Context.ai。Vercel发布的安全公告显示4月19日该公司发现了一起安全事件涉及未经授权访问内部系统并导致少数客户的凭证遭到入侵。公司已联系相关客户建议立即轮换凭证。公告进一步表示我们仍在调查是否有数据外泄以及外泄数据的具体内容如发现更多入侵证据将及时通知相关客户。公司还表示已部署了广泛的防护措施和监控机制服务目前运行正常。Vercel指出了此次事件的起因事故源于Context.ai系统遭到入侵Context.ai是一款被Vercel员工使用的第三方AI工具。攻击者利用该访问权限接管了该员工的Vercel谷歌企业账户Google Workspace进而访问了部分Vercel环境及未被标记为敏感的环境变量。Context.ai随后也发布了安全公告披露了3月份发生的一起安全事件——当时公司发现并阻止了一次针对其AWS环境的未经授权访问。Context.ai聘请CrowdStrike进行调查并关闭了其AWS服务。然而Context.ai在公告中承认今天根据Vercel提供的信息及内部进一步调查我们获悉在上个月的事件中未经授权的攻击者还可能入侵了部分消费者用户的OAuth令牌。Context.ai的消费者用户使用的产品名为AI Office Suite该公司将其描述为一款帮助用户与AI智能体协作、构建演示文稿、文档和电子表格的工作空间。该套件提供了一项功能允许消费者用户授权AI智能体跨外部应用程序执行操作整个过程通过另一家第三方服务实现。Context.ai的公告还指出攻击者疑似使用被入侵的OAuth令牌访问了Vercel的谷歌企业账户。Vercel并非Context.ai的直接客户但至少有一名Vercel员工使用其Vercel企业账户注册了AI Office Suite并授予了允许全部权限。Context.ai认为Vercel内部的OAuth配置似乎允许该操作在Vercel谷歌企业账户中获取大范围权限。此次事件中各方均存在失误。Context.ai的信息安全防护明显存在不足CrowdStrike的调查似乎也有所疏漏而Vercel未能锁定其谷歌企业账户同样难辞其咎。这一事件为业界提供了一个现实案例接入第三方服务的智能体AI产品正在引发安全风险而这恰恰是信息安全专家此前一再警示的潜在隐患。QAQ1Vercel数据泄露事件是怎么发生的A此次事件起因于第三方AI工具Context.ai遭到入侵。一名Vercel员工使用企业账户注册了Context.ai的AI Office Suite产品并授予了允许全部权限。攻击者利用被盗的OAuth令牌接管了该员工的谷歌企业账户从而访问了Vercel部分内部环境和未标记为敏感的环境变量最终导致少数客户凭证泄露。Q2Context.ai的AI Office Suite有什么安全风险AAI Office Suite允许用户授权AI智能体跨外部应用程序执行操作并通过第三方服务进行权限对接。这种允许全部的宽泛授权方式一旦OAuth令牌遭到入侵攻击者便可利用该令牌访问与账户关联的外部平台和内部系统造成连锁安全风险。此次事件正是AI智能体产品接入第三方服务引发安全问题的典型案例。Q3Vercel建议受影响的客户怎么做AVercel已主动联系受影响的客户建议他们立即进行凭证轮换以降低账户被进一步入侵的风险。与此同时Vercel表示已部署广泛的防护措施和监控机制并将持续调查是否有数据外泄一旦发现更多入侵证据将及时通知相关客户。目前公司服务运行正常。

更多文章