Vercel确认客户凭证遭有限泄露 安全事件源于AI工具遭入侵
云计算服务商Vercel于2026年4月19日通过博客发布公告,确认发生安全事件,黑客未经授权访问其部分内部系统,并获取了“有限”数量客户凭证。
Vercel在声明中表示,已识别出受影响客户群体,并立即通知其更换凭证。此次事件源于一名员工使用的第三方AI工具Context.ai遭入侵,攻击者借此获得该员工Google Workspace账户权限,进而渗透至Vercel内部系统。
Vercel CEO Guillermo Rauch指出,攻击者“高度专业”,具备快速行动能力和对Vercel系统架构的深入理解,且“极有可能借助AI加速攻击过程”。他强调公司客户环境采用全加密存储,但部分变量被标记为“非敏感”,导致攻击者通过枚举获取进一步权限。
黑客在BreachForums论坛以“ShinyHunters”名义声称掌握Vercel源代码、数据库信息及员工账户,可发起“全球供应链攻击”,并要求支付200万美元赎金。Vercel未直接回应该声明,但表示已部署全面防护措施,并对Next.js、Turbopack等开源项目进行供应链安全审查,确认其未受影响。
Rauch呼吁用户遵循安全最佳实践,包括定期轮换密钥、监控Vercel环境及关联服务访问,并正确使用敏感环境变量功能。
编辑点评
此次Vercel安全事件凸显了AI工具在企业安全链条中的潜在风险。攻击者通过入侵员工使用的第三方AI平台Context.ai,实现了对Vercel内部系统的横向移动,暴露出企业对新兴技术依赖背后的安全盲点。作为全球广泛使用的云托管平台,Vercel服务大量加密项目,其系统一旦被渗透,可能引发连锁反应,影响整个去中心化应用生态。尽管Vercel称泄露范围有限,但黑客声称掌握源代码和数据库,潜在威胁不容忽视。
事件反映了当前网络威胁的复杂化趋势:攻击者利用AI提升攻击效率、缩短渗透时间,传统安全边界正被不断突破。同时,开源项目的供应链安全成为关键焦点,任何环节的脆弱性都可能被放大。未来企业需重新评估对AI工具的使用策略,加强零信任架构部署,并建立更动态的威胁检测机制。此次事件或推动行业对AI安全监管框架的重新思考,尤其是在金融与科技高度融合的背景下。