靠“AI 云”爆紅的 Vercel，栽在一個第三方AI工具手里！IPO前夕遭黑，200萬美元贖金談崩？

整理 | 華衛(wèi)

近日，支撐數(shù)百萬生產(chǎn)部署、默默承載代碼與用戶之間底層連接的云平臺 Vercel 遭到入侵，有威脅行為者宣稱攻擊了其系統(tǒng)，并試圖出售竊取的數(shù)據(jù)。作為面向開發(fā)者提供托管與部署基礎(chǔ)設(shè)施的云平臺，Vercel 尤其專注于 JavaScript 框架生態(tài)，因開發(fā)廣泛使用的 React 框架 Next.js 而知名，同時還提供無服務(wù)器函數(shù)、邊緣計算、CI/CD 流水線等服務(wù)，幫助開發(fā)者構(gòu)建、預覽和部署應(yīng)用程序。

昨晚，Vercel 在社交平臺 X 上發(fā)布聲明，確認了這起 “安全事件”，稱“有未經(jīng)授權(quán)的人員訪問了 Vercel 部分內(nèi)部系統(tǒng)”。該公司表示，攻擊者是通過一個被入侵的第三方 AI 工具實施入侵，與 Google Workspace OAuth 應(yīng)用相關(guān)聯(lián)。

在此之前，一名自稱是近期入侵 Rockstar Games 幕后組織 ShinyHunters 成員的人士在一個黑客論壇上發(fā)帖，稱從 Vercel 竊取了訪問密鑰、源代碼、數(shù)據(jù)庫數(shù)據(jù)以及內(nèi)部部署環(huán)境訪問權(quán)限和 API 密鑰。他在帖子中寫道：“這只是來自 Linear（Vercel 內(nèi)部的項目管理工具）的證明材料，但我即將給你的訪問權(quán)限包括多個員工賬戶，可訪問多個內(nèi)部部署系統(tǒng)、API 密鑰（包括部分 NPM 令牌和 GitHub 令牌）。”

該威脅行為者還公開了一份包含 Vercel 員工信息的文本文件，共計 580 條數(shù)據(jù)記錄，包括姓名、Vercel 郵箱、賬號狀態(tài)及操作時間戳。此外，他還發(fā)布了一張疑似 Vercel 企業(yè)版內(nèi)部管理后臺的截圖。有報道稱，與 ShinyHunters 核心團伙有關(guān)聯(lián)的人員已否認參與此事。

入侵源頭是 Context.ai，

谷歌 Mandiant 團隊正協(xié)助調(diào)查

在安全公告中，Vercel 表示，此次事件源于一款第三方 AI 工具，該工具的 Google Workspace OAuth 應(yīng)用被攻破，可能影響數(shù)百個機構(gòu)的大量用戶。并且，Vercel 公布了相關(guān)威脅指標（IOC），以協(xié)助業(yè)界排查環(huán)境中可能存在的惡意行為，如下：

OAuth 應(yīng)用：110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com

隨后，Vercel 首席執(zhí)行官 Guillermo Rauch 在 X 上披露了更多細節(jié)，詳細說明了攻擊者的入侵路徑。據(jù)稱，攻擊者最初的突破口是一名 Vercel 員工的 Google Workspace 賬號，該員工所使用的 AI 平臺 Context.ai 遭到入侵，導致其賬號被攻陷。攻擊者在獲取該員工賬號權(quán)限后，進一步提升權(quán)限滲透進入了 Vercel 自身的系統(tǒng)環(huán)境，訪問了未被標記為敏感、因此未進行靜態(tài)加密的環(huán)境變量。

通常，環(huán)境變量中存放著 API 密鑰、私有 RPC 端點、部署憑證等機密信息。Rauch 表示，“Vercel 對所有客戶環(huán)境變量均采用完整靜態(tài)加密存儲，我們擁有多層縱深防御機制保護核心系統(tǒng)與客戶數(shù)據(jù)。但我們確實提供將環(huán)境變量標記為‘非敏感’的功能，不幸的是，攻擊者正是通過枚舉這些非敏感變量，獲得了更高權(quán)限的訪問。”

“我們認為該攻擊組織技術(shù)水平極高，并且我高度懷疑，AI 極大地提升了他們的攻擊效率。Rauch 補充道，攻擊者行動 “速度驚人，且對 Vercel 有著深入的了解”。據(jù)了解，Context.ai 由前谷歌高管創(chuàng)辦，專注于 AI 模型評估與分析，其核心產(chǎn)品為模型數(shù)據(jù)洞察儀表板。

但 Vercel 稱，其服務(wù)未受影響，僅有少量客戶受到此次數(shù)據(jù)泄露影響，目前正與受影響客戶協(xié)同處理。同時，該公司已對其供應(yīng)鏈進行排查，確認 Next.js、Turbopack 及其他開源項目均未受影響，保持安全。Vercel 已對管理后臺推送更新，包括新增環(huán)境變量總覽頁面，以及優(yōu)化敏感環(huán)境變量的管理界面。

“我們正在展開積極調(diào)查，并已聘請事件響應(yīng)專家協(xié)助調(diào)查與修復工作。我們已通報執(zhí)法部門，并將隨著調(diào)查進展更新本頁面信息。”據(jù)悉，谷歌 Mandiant 團隊正協(xié)助調(diào)查，Vercel 也已聯(lián)系 Context.ai，以確定此次事件的完整影響范圍。

Vercel 正采取措施保護用戶，并強烈建議開發(fā)者檢查環(huán)境變量中是否包含敏感信息，并啟用平臺敏感環(huán)境變量功能，在必要時輪換密鑰等敏感憑證，確保相關(guān)數(shù)據(jù)實現(xiàn)靜態(tài)加密。同時，Vercel 提醒所有 Google Workspace 管理員及谷歌賬號用戶，立即檢查該應(yīng)用的使用情況，排查可疑行為。

影響范圍太廣，

可能引發(fā)連鎖式暴露

針對此次事件，軟件開發(fā)社區(qū)知名開發(fā)者 Theo Browne 在 X 上表示，據(jù)其消息源透露，Vercel 內(nèi)部集成的 Linear 和 GitHub 系統(tǒng)是受影響最嚴重的部分。他指出，Vercel 中標注為敏感的環(huán)境變量均受到安全保護；未被標記的其他變量則必須進行輪換，以防遭遇相同風險。該建議也與 Vercel 官方給出的指引一致，即建議客戶檢查環(huán)境變量并啟用平臺的敏感變量功能。

“這種方式很可能被用來打擊除 Vercel 以外的多家公司。”Browne 稱。

從數(shù)據(jù)規(guī)模也能看出這次事故帶來的影響之大。Vercel 為數(shù)千家企業(yè)托管應(yīng)用，涵蓋個人開發(fā)者、初創(chuàng)公司和世界 500 強企業(yè)，他們利用該平臺在全球邊緣網(wǎng)絡(luò)部署 Next.js 應(yīng)用、靜態(tài)站點和無服務(wù)器功能。這類基礎(chǔ)設(shè)施一旦被攻破，就會引發(fā)連鎖式的安全暴露。根據(jù)發(fā)表在 IEEE Xplore 上的研究，開發(fā)者基礎(chǔ)設(shè)施的安全漏洞會在多個系統(tǒng)中對消費者數(shù)據(jù)造成連鎖風險。研究強調(diào)，平臺層面的泄露可能導致敏感信息在初始目標之外的廣泛暴露。

使用 Vercel Pro 和 Enterprise 套餐的企業(yè)客戶可能面臨最高風險，因為這些賬戶通常包含更敏感的項目數(shù)據(jù)、自定義域配置以及第三方服務(wù)的集成憑證。那些將 GitHub、GitLab 或 Bitbucket 倉庫連接到 Vercel 進行自動化部署的組織，如果攻擊者獲得了存儲的認證令牌，其源代碼倉庫可能會被暴露。

在 Vercel 平臺上存儲環(huán)境變量、API 密鑰和數(shù)據(jù)庫連接字符串的開發(fā)團隊尤其值得關(guān)注。對許多開發(fā)團隊來說，這些數(shù)據(jù)代表了他們生產(chǎn)系統(tǒng)的關(guān)鍵。如果這些憑證被泄露，攻擊者可能獲得遠超 Vercel 平臺的后端系統(tǒng)、數(shù)據(jù)庫和外部服務(wù)訪問權(quán)限，篡改構(gòu)建流程、注入惡意代碼，進而實施更廣泛的攻擊。

使用 Vercel 免費套餐的個人開發(fā)者雖然可能目標更少，但仍面臨個人項目暴露和賬號被接管的風險。該平臺與流行的開發(fā)工具和服務(wù)的集成意味著被攻破的賬戶可能成為針對開發(fā)者生態(tài)系統(tǒng)更廣泛攻擊的跳板。

但更深遠的影響不止于 Vercel 本身，所有使用第三方 AI 工具進行代碼生成、數(shù)據(jù)分析或自動化運營的公司，現(xiàn)在都必須面對同一個問題：哪些服務(wù)商可以訪問哪些系統(tǒng)，對應(yīng)的安全驗證機制又是什么？

目前尚不清楚此次入侵的滲透深度，也不確定是否有客戶部署的應(yīng)用遭到篡改。Vercel 表示調(diào)查仍在持續(xù)，將在獲取更多信息后向相關(guān)方通報，并會直接聯(lián)系受影響客戶。

IPO 前夕被攻擊，

200 萬美元贖金談判未果？

值得一提的是，這次入侵發(fā)生在 Vercel 的關(guān)鍵時刻。據(jù)外媒報道，在營收激增 240% 后，該公司正準備進行首次公開募股 (IPO)。

Vercel 一直將自身定位為面向開發(fā)者的 “AI 云平臺”，大力推廣深度 AI 集成能力。而或許正是這一定位，讓它淪為了攻擊目標。這起事件在云開發(fā)領(lǐng)域引發(fā)高度擔憂，因為 Vercel 憑借其廣受歡迎的前端部署平臺，服務(wù)著全球數(shù)百萬開發(fā)者。Vercel 在開發(fā)流程中處于特殊位置，是許多初創(chuàng)公司和成熟公司用來構(gòu)建、測試和部署應(yīng)用的基礎(chǔ)設(shè)施層。這種級別的泄露不僅暴露了 Vercel 自己的數(shù)據(jù)，這可能會暴露成千上萬信任該平臺部署流程的開發(fā)團隊的下游應(yīng)用和服務(wù)。

更重要的是，此次泄露事件也引發(fā)了對 Vercel 安全措施和監(jiān)控能力的質(zhì)疑。在安全研究人員發(fā)現(xiàn)黑客在試圖兜售據(jù)稱竊取的數(shù)據(jù)、并出現(xiàn)可疑活動后，Vercel 才意識到系統(tǒng)可能已遭入侵。并且，從該公司最初披露的消息來看，攻擊者在被發(fā)現(xiàn)前維持訪問權(quán)限的時間尚不明確。入侵發(fā)生與被發(fā)現(xiàn)之間的間隔至關(guān)重要：攻擊者訪問時間越長，能泄露的數(shù)據(jù)越多，對下游系統(tǒng)造成的損害也越大。網(wǎng)絡(luò)安全事件響應(yīng)研究表明，消除安全漏洞的長期后果需要立即采取行動，以防止連鎖反應(yīng)在連接系統(tǒng)中蔓延。

不過需要說明的是，攻擊者并未直接攻擊 Vercel，而是利用了關(guān)聯(lián) Google Workspace 的 OAuth 訪問權(quán)限。這類供應(yīng)鏈漏洞的確更難被察覺，因為它依托的是受信任的集成服務(wù)，而非明顯的系統(tǒng)漏洞。近期也有多起域名劫持事件導致用戶被跳轉(zhuǎn)至仿冒惡意網(wǎng)站，造成錢包資產(chǎn)被盜。但這類攻擊通常發(fā)生在 DNS 或域名注冊商層面，一般可通過監(jiān)控工具快速發(fā)現(xiàn)異常。托管層入侵則截然不同。攻擊者不會將用戶導向釣魚網(wǎng)站，而是直接修改真實的前端代碼。用戶訪問的是合法域名，卻加載了惡意代碼，對此毫無察覺。

在 Telegram 上分享的信息中，威脅行為者聲稱已就此事與 Vercel 方接觸，雙方曾就 200 萬美元贖金進行過談判。無論之后此事如何發(fā)展，該公司當前都迫切需要轉(zhuǎn)入防御姿態(tài)向投資者展示其穩(wěn)定性。據(jù)傳，Netlify 和 Render 等競爭對手正在聯(lián)系 Vercel 的客戶，將其平臺定位為更安全的選擇。

https://vercel.com/kb/bulletin/vercel-april-2026-security-incident

聲明：本文為 AI 前線整理，不代表平臺觀點，未經(jīng)許可禁止轉(zhuǎn)載。

會議推薦

世界模型的下一個突破在哪？Agent 從 Demo 到工程化還差什么？安全與可信這道坎怎么過？研發(fā)體系不重構(gòu)，還能撐多久？

AICon 上海站 2026，4 大核心專題等你來：世界模型與多模態(tài)智能突破、Agent 架構(gòu)與工程化實踐、Agent 安全與可信治理、企業(yè)級研發(fā)體系重構(gòu)。14 個專題全面開放征稿。

誠摯邀請你登臺分享實戰(zhàn)經(jīng)驗。AICon 2026，期待與你同行。

今日薦文

你也「在看」嗎？