Vercel承认发生安全事件,但起点并非其自身系统,而是第三方AI平台Context.ai被攻破:至少一名Vercel员工用企业账号注册其AI Office Suite,并授予“Allow All”级别的Google Workspace OAuth权限,攻击者随后借此接管该员工账号并横向进入内部系统。Vercel称,暴露的是未被标记为敏感的环境变量,标记为敏感的变量因静态加密未被访问;公司已请Mandiant介入、通知执法部门,并联系少量受影响客户,建议检查日志并轮换相关密钥。争议点在于,报道提到Context.ai自身失陷可能源于员工下载Roblox作弊脚本后感染Lumma Stealer,ShinyHunters则声称对事件负责并索要200万美元;另有部分被盗凭证细节来自安全公司说法,Vercel当时未独立证实。
来源:Reddit(r/technology)
原始发布时间:2026-04-21 05:02