靠“AI 云”爆紅的 Vercel，栽在一個(gè)第三方AI工具手里！IPO前夕遭黑，200萬(wàn)美元贖金談崩？

整理 | 華衛(wèi)

近日，支撐數(shù)百萬(wàn)生產(chǎn)部署、默默承載代碼與用戶(hù)之間底層連接的云平臺(tái) Vercel 遭到入侵，有威脅行為者宣稱(chēng)攻擊了其系統(tǒng)，并試圖出售竊取的數(shù)據(jù)。作為面向開(kāi)發(fā)者提供托管與部署基礎(chǔ)設(shè)施的云平臺(tái)，Vercel 尤其專(zhuān)注于 JavaScript 框架生態(tài)，因開(kāi)發(fā)廣泛使用的 React 框架 Next.js 而知名，同時(shí)還提供無(wú)服務(wù)器函數(shù)、邊緣計(jì)算、CI/CD 流水線(xiàn)等服務(wù)，幫助開(kāi)發(fā)者構(gòu)建、預(yù)覽和部署應(yīng)用程序。

昨晚，Vercel 在社交平臺(tái) X 上發(fā)布聲明，確認(rèn)了這起 “安全事件”，稱(chēng)“有未經(jīng)授權(quán)的人員訪(fǎng)問(wèn)了 Vercel 部分內(nèi)部系統(tǒng)”。該公司表示，攻擊者是通過(guò)一個(gè)被入侵的第三方 AI 工具實(shí)施入侵，與 Google Workspace OAuth 應(yīng)用相關(guān)聯(lián)。

在此之前，一名自稱(chēng)是近期入侵 Rockstar Games 幕后組織 ShinyHunters 成員的人士在一個(gè)黑客論壇上發(fā)帖，稱(chēng)從 Vercel 竊取了訪(fǎng)問(wèn)密鑰、源代碼、數(shù)據(jù)庫(kù)數(shù)據(jù)以及內(nèi)部部署環(huán)境訪(fǎng)問(wèn)權(quán)限和 API 密鑰。他在帖子中寫(xiě)道：“這只是來(lái)自 Linear（Vercel 內(nèi)部的項(xiàng)目管理工具）的證明材料，但我即將給你的訪(fǎng)問(wèn)權(quán)限包括多個(gè)員工賬戶(hù)，可訪(fǎng)問(wèn)多個(gè)內(nèi)部部署系統(tǒng)、API 密鑰（包括部分 NPM 令牌和 GitHub 令牌）。”

該威脅行為者還公開(kāi)了一份包含 Vercel 員工信息的文本文件，共計(jì) 580 條數(shù)據(jù)記錄，包括姓名、Vercel 郵箱、賬號(hào)狀態(tài)及操作時(shí)間戳。此外，他還發(fā)布了一張疑似 Vercel 企業(yè)版內(nèi)部管理后臺(tái)的截圖。有報(bào)道稱(chēng)，與 ShinyHunters 核心團(tuán)伙有關(guān)聯(lián)的人員已否認(rèn)參與此事。

入侵源頭是 Context.ai，

谷歌 Mandiant 團(tuán)隊(duì)正協(xié)助調(diào)查

在安全公告中，Vercel 表示，此次事件源于一款第三方 AI 工具，該工具的 Google Workspace OAuth 應(yīng)用被攻破，可能影響數(shù)百個(gè)機(jī)構(gòu)的大量用戶(hù)。并且，Vercel 公布了相關(guān)威脅指標(biāo)（IOC），以協(xié)助業(yè)界排查環(huán)境中可能存在的惡意行為，如下：

OAuth 應(yīng)用：110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com

隨后，Vercel 首席執(zhí)行官 Guillermo Rauch 在 X 上披露了更多細(xì)節(jié)，詳細(xì)說(shuō)明了攻擊者的入侵路徑。據(jù)稱(chēng)，攻擊者最初的突破口是一名 Vercel 員工的 Google Workspace 賬號(hào)，該員工所使用的 AI 平臺(tái) Context.ai 遭到入侵，導(dǎo)致其賬號(hào)被攻陷。攻擊者在獲取該員工賬號(hào)權(quán)限后，進(jìn)一步提升權(quán)限滲透進(jìn)入了 Vercel 自身的系統(tǒng)環(huán)境，訪(fǎng)問(wèn)了未被標(biāo)記為敏感、因此未進(jìn)行靜態(tài)加密的環(huán)境變量。

通常，環(huán)境變量中存放著 API 密鑰、私有 RPC 端點(diǎn)、部署憑證等機(jī)密信息。Rauch 表示，“Vercel 對(duì)所有客戶(hù)環(huán)境變量均采用完整靜態(tài)加密存儲(chǔ)，我們擁有多層縱深防御機(jī)制保護(hù)核心系統(tǒng)與客戶(hù)數(shù)據(jù)。但我們確實(shí)提供將環(huán)境變量標(biāo)記為‘非敏感’的功能，不幸的是，攻擊者正是通過(guò)枚舉這些非敏感變量，獲得了更高權(quán)限的訪(fǎng)問(wèn)。”

“我們認(rèn)為該攻擊組織技術(shù)水平極高，并且我高度懷疑，AI 極大地提升了他們的攻擊效率。Rauch 補(bǔ)充道，攻擊者行動(dòng) “速度驚人，且對(duì) Vercel 有著深入的了解”。據(jù)了解，Context.ai 由前谷歌高管創(chuàng)辦，專(zhuān)注于 AI 模型評(píng)估與分析，其核心產(chǎn)品為模型數(shù)據(jù)洞察儀表板。

但 Vercel 稱(chēng)，其服務(wù)未受影響，僅有少量客戶(hù)受到此次數(shù)據(jù)泄露影響，目前正與受影響客戶(hù)協(xié)同處理。同時(shí)，該公司已對(duì)其供應(yīng)鏈進(jìn)行排查，確認(rèn) Next.js、Turbopack 及其他開(kāi)源項(xiàng)目均未受影響，保持安全。Vercel 已對(duì)管理后臺(tái)推送更新，包括新增環(huán)境變量總覽頁(yè)面，以及優(yōu)化敏感環(huán)境變量的管理界面。

“我們正在展開(kāi)積極調(diào)查，并已聘請(qǐng)事件響應(yīng)專(zhuān)家協(xié)助調(diào)查與修復(fù)工作。我們已通報(bào)執(zhí)法部門(mén)，并將隨著調(diào)查進(jìn)展更新本頁(yè)面信息。”據(jù)悉，谷歌 Mandiant 團(tuán)隊(duì)正協(xié)助調(diào)查，Vercel 也已聯(lián)系 Context.ai，以確定此次事件的完整影響范圍。

Vercel 正采取措施保護(hù)用戶(hù)，并強(qiáng)烈建議開(kāi)發(fā)者檢查環(huán)境變量中是否包含敏感信息，并啟用平臺(tái)敏感環(huán)境變量功能，在必要時(shí)輪換密鑰等敏感憑證，確保相關(guān)數(shù)據(jù)實(shí)現(xiàn)靜態(tài)加密。同時(shí)，Vercel 提醒所有 Google Workspace 管理員及谷歌賬號(hào)用戶(hù)，立即檢查該應(yīng)用的使用情況，排查可疑行為。

影響范圍太廣，

可能引發(fā)連鎖式暴露

針對(duì)此次事件，軟件開(kāi)發(fā)社區(qū)知名開(kāi)發(fā)者 Theo Browne 在 X 上表示，據(jù)其消息源透露，Vercel 內(nèi)部集成的 Linear 和 GitHub 系統(tǒng)是受影響最嚴(yán)重的部分。他指出，Vercel 中標(biāo)注為敏感的環(huán)境變量均受到安全保護(hù)；未被標(biāo)記的其他變量則必須進(jìn)行輪換，以防遭遇相同風(fēng)險(xiǎn)。該建議也與 Vercel 官方給出的指引一致，即建議客戶(hù)檢查環(huán)境變量并啟用平臺(tái)的敏感變量功能。

“這種方式很可能被用來(lái)打擊除 Vercel 以外的多家公司。”Browne 稱(chēng)。

從數(shù)據(jù)規(guī)模也能看出這次事故帶來(lái)的影響之大。Vercel 為數(shù)千家企業(yè)托管應(yīng)用，涵蓋個(gè)人開(kāi)發(fā)者、初創(chuàng)公司和世界 500 強(qiáng)企業(yè)，他們利用該平臺(tái)在全球邊緣網(wǎng)絡(luò)部署 Next.js 應(yīng)用、靜態(tài)站點(diǎn)和無(wú)服務(wù)器功能。這類(lèi)基礎(chǔ)設(shè)施一旦被攻破，就會(huì)引發(fā)連鎖式的安全暴露。根據(jù)發(fā)表在 IEEE Xplore 上的研究，開(kāi)發(fā)者基礎(chǔ)設(shè)施的安全漏洞會(huì)在多個(gè)系統(tǒng)中對(duì)消費(fèi)者數(shù)據(jù)造成連鎖風(fēng)險(xiǎn)。研究強(qiáng)調(diào)，平臺(tái)層面的泄露可能導(dǎo)致敏感信息在初始目標(biāo)之外的廣泛暴露。

使用 Vercel Pro 和 Enterprise 套餐的企業(yè)客戶(hù)可能面臨最高風(fēng)險(xiǎn)，因?yàn)檫@些賬戶(hù)通常包含更敏感的項(xiàng)目數(shù)據(jù)、自定義域配置以及第三方服務(wù)的集成憑證。那些將 GitHub、GitLab 或 Bitbucket 倉(cāng)庫(kù)連接到 Vercel 進(jìn)行自動(dòng)化部署的組織，如果攻擊者獲得了存儲(chǔ)的認(rèn)證令牌，其源代碼倉(cāng)庫(kù)可能會(huì)被暴露。

在 Vercel 平臺(tái)上存儲(chǔ)環(huán)境變量、API 密鑰和數(shù)據(jù)庫(kù)連接字符串的開(kāi)發(fā)團(tuán)隊(duì)尤其值得關(guān)注。對(duì)許多開(kāi)發(fā)團(tuán)隊(duì)來(lái)說(shuō)，這些數(shù)據(jù)代表了他們生產(chǎn)系統(tǒng)的關(guān)鍵。如果這些憑證被泄露，攻擊者可能獲得遠(yuǎn)超 Vercel 平臺(tái)的后端系統(tǒng)、數(shù)據(jù)庫(kù)和外部服務(wù)訪(fǎng)問(wèn)權(quán)限，篡改構(gòu)建流程、注入惡意代碼，進(jìn)而實(shí)施更廣泛的攻擊。

使用 Vercel 免費(fèi)套餐的個(gè)人開(kāi)發(fā)者雖然可能目標(biāo)更少，但仍面臨個(gè)人項(xiàng)目暴露和賬號(hào)被接管的風(fēng)險(xiǎn)。該平臺(tái)與流行的開(kāi)發(fā)工具和服務(wù)的集成意味著被攻破的賬戶(hù)可能成為針對(duì)開(kāi)發(fā)者生態(tài)系統(tǒng)更廣泛攻擊的跳板。

但更深遠(yuǎn)的影響不止于 Vercel 本身，所有使用第三方 AI 工具進(jìn)行代碼生成、數(shù)據(jù)分析或自動(dòng)化運(yùn)營(yíng)的公司，現(xiàn)在都必須面對(duì)同一個(gè)問(wèn)題：哪些服務(wù)商可以訪(fǎng)問(wèn)哪些系統(tǒng)，對(duì)應(yīng)的安全驗(yàn)證機(jī)制又是什么？

目前尚不清楚此次入侵的滲透深度，也不確定是否有客戶(hù)部署的應(yīng)用遭到篡改。Vercel 表示調(diào)查仍在持續(xù)，將在獲取更多信息后向相關(guān)方通報(bào)，并會(huì)直接聯(lián)系受影響客戶(hù)。

IPO 前夕被攻擊，

200 萬(wàn)美元贖金談判未果？

值得一提的是，這次入侵發(fā)生在 Vercel 的關(guān)鍵時(shí)刻。據(jù)外媒報(bào)道，在營(yíng)收激增 240% 后，該公司正準(zhǔn)備進(jìn)行首次公開(kāi)募股 (IPO)。

Vercel 一直將自身定位為面向開(kāi)發(fā)者的 “AI 云平臺(tái)”，大力推廣深度 AI 集成能力。而或許正是這一定位，讓它淪為了攻擊目標(biāo)。這起事件在云開(kāi)發(fā)領(lǐng)域引發(fā)高度擔(dān)憂(yōu)，因?yàn)?Vercel 憑借其廣受歡迎的前端部署平臺(tái)，服務(wù)著全球數(shù)百萬(wàn)開(kāi)發(fā)者。Vercel 在開(kāi)發(fā)流程中處于特殊位置，是許多初創(chuàng)公司和成熟公司用來(lái)構(gòu)建、測(cè)試和部署應(yīng)用的基礎(chǔ)設(shè)施層。這種級(jí)別的泄露不僅暴露了 Vercel 自己的數(shù)據(jù)，這可能會(huì)暴露成千上萬(wàn)信任該平臺(tái)部署流程的開(kāi)發(fā)團(tuán)隊(duì)的下游應(yīng)用和服務(wù)。

更重要的是，此次泄露事件也引發(fā)了對(duì) Vercel 安全措施和監(jiān)控能力的質(zhì)疑。在安全研究人員發(fā)現(xiàn)黑客在試圖兜售據(jù)稱(chēng)竊取的數(shù)據(jù)、并出現(xiàn)可疑活動(dòng)后，Vercel 才意識(shí)到系統(tǒng)可能已遭入侵。并且，從該公司最初披露的消息來(lái)看，攻擊者在被發(fā)現(xiàn)前維持訪(fǎng)問(wèn)權(quán)限的時(shí)間尚不明確。入侵發(fā)生與被發(fā)現(xiàn)之間的間隔至關(guān)重要：攻擊者訪(fǎng)問(wèn)時(shí)間越長(zhǎng)，能泄露的數(shù)據(jù)越多，對(duì)下游系統(tǒng)造成的損害也越大。網(wǎng)絡(luò)安全事件響應(yīng)研究表明，消除安全漏洞的長(zhǎng)期后果需要立即采取行動(dòng)，以防止連鎖反應(yīng)在連接系統(tǒng)中蔓延。

不過(guò)需要說(shuō)明的是，攻擊者并未直接攻擊 Vercel，而是利用了關(guān)聯(lián) Google Workspace 的 OAuth 訪(fǎng)問(wèn)權(quán)限。這類(lèi)供應(yīng)鏈漏洞的確更難被察覺(jué)，因?yàn)樗劳械氖鞘苄湃蔚募煞?wù)，而非明顯的系統(tǒng)漏洞。近期也有多起域名劫持事件導(dǎo)致用戶(hù)被跳轉(zhuǎn)至仿冒惡意網(wǎng)站，造成錢(qián)包資產(chǎn)被盜。但這類(lèi)攻擊通常發(fā)生在 DNS 或域名注冊(cè)商層面，一般可通過(guò)監(jiān)控工具快速發(fā)現(xiàn)異常。托管層入侵則截然不同。攻擊者不會(huì)將用戶(hù)導(dǎo)向釣魚(yú)網(wǎng)站，而是直接修改真實(shí)的前端代碼。用戶(hù)訪(fǎng)問(wèn)的是合法域名，卻加載了惡意代碼，對(duì)此毫無(wú)察覺(jué)。

在 Telegram 上分享的信息中，威脅行為者聲稱(chēng)已就此事與 Vercel 方接觸，雙方曾就 200 萬(wàn)美元贖金進(jìn)行過(guò)談判。無(wú)論之后此事如何發(fā)展，該公司當(dāng)前都迫切需要轉(zhuǎn)入防御姿態(tài)向投資者展示其穩(wěn)定性。據(jù)傳，Netlify 和 Render 等競(jìng)爭(zhēng)對(duì)手正在聯(lián)系 Vercel 的客戶(hù)，將其平臺(tái)定位為更安全的選擇。

https://vercel.com/kb/bulletin/vercel-april-2026-security-incident

聲明：本文為 AI 前線(xiàn)整理，不代表平臺(tái)觀(guān)點(diǎn)，未經(jīng)許可禁止轉(zhuǎn)載。

會(huì)議推薦

世界模型的下一個(gè)突破在哪？Agent 從 Demo 到工程化還差什么？安全與可信這道坎怎么過(guò)？研發(fā)體系不重構(gòu)，還能撐多久？

AICon 上海站 2026，4 大核心專(zhuān)題等你來(lái)：世界模型與多模態(tài)智能突破、Agent 架構(gòu)與工程化實(shí)踐、Agent 安全與可信治理、企業(yè)級(jí)研發(fā)體系重構(gòu)。14 個(gè)專(zhuān)題全面開(kāi)放征稿。

誠(chéng)摯邀請(qǐng)你登臺(tái)分享實(shí)戰(zhàn)經(jīng)驗(yàn)。AICon 2026，期待與你同行。

今日薦文

你也「在看」嗎？