一个AI工具攻破了百万开发者的底座:Vercel供应链入侵全复盘
一个AI工具,撬开了云平台的保险箱
2026年4月20日,Vercel在社交平台X上发布了一条简短的安全公告:有未经授权的人员访问了Vercel部分内部系统。
对于全球数百万前端开发者来说,Vercel是再熟悉不过的名字——Next.js的诞生地,React生态的默认部署平台,无数AI应用和初创项目的”生产底座”。而这家正冲刺IPO的明星企业,此刻不得不承认:有人进来了。
但真正让人脊背发凉的不是”有人进来了”,而是”怎么进来的”。
攻击者没有利用零日漏洞,没有发动复杂的多层渗透,没有破解加密算法。他们做的事情极其简单:攻破了一个AI工具的OAuth应用,继承了它被授予的权限,然后大摇大摆地走了进去。
整个过程,就像一个小偷拿到了你家装修工人的钥匙,而你的锁根本没有换过。
攻击链还原:从游戏外挂到云平台核心
第一步:一个Roblox脚本的代价
安全研究机构Hudson Rock在事后溯源中发现了这条令人哭笑不得的起点:2026年2月,一名Vercel员工的个人设备感染了Lumma Stealer恶意软件。
感染路径?下载了一个Roblox”自动刷分”脚本。
信息窃取木马(Stealer)是当前最常见也最被低估的威胁之一。它们不搞破坏,不留痕迹,只做一件事:悄悄偷走浏览器里保存的Cookie、会话令牌和自动填充凭证。对大多数用户来说,中了木马可能只是丢了个游戏账号。但如果这台设备的主人,恰好是某家云平台公司的员工——故事就完全不同了。
Lumma Stealer从这台设备上窃取了企业凭证,其中就包括与Context.ai绑定的Google Workspace会话。
第二步:Context.ai——那扇从没上锁的侧门
Context.ai是一家由前谷歌高管创办的AI模型评估平台,也是Vercel员工日常使用的效率工具。它通过Google Workspace OAuth与用户的Google账号集成——这是SaaS时代最常见也最危险的信任关系。
当攻击者通过窃取的凭证登录Context.ai后,他们面对的是一条已经铺好的高速公路:Context.ai的OAuth应用已经被授权访问该Vercel员工的Google Workspace账户。不需要二次验证,不需要多因素认证,一切权限都是现成的。
这就是OAuth信任链的核心风险:一旦第三方应用被攻破,攻击者可以合法地继承该应用被授予的所有权限。在企业的安全体系中,这道”侧门”往往连监控都没有。
第三步:环境变量——那些被遗忘的钥匙
进入Vercel内部后,攻击者并没有漫无目的地闲逛。他们直奔环境变量而去。
环境变量是云平台中存储配置信息的核心机制,数据库密码、API密钥、部署凭证都可能藏在其中。Vercel对环境变量实行分级管理:被标记为”敏感”的变量采用特殊加密存储,外部无法直接读取;而未标记为”敏感”的变量,则按普通配置处理。
问题在于,”敏感”与否完全由用户自己标记。大量开发者把NPM令牌、GitHub令牌、内部API密钥存放在”非敏感”分类下,理由可能只是”这个密钥只用于测试环境”或”嫌勾选敏感选项太麻烦”。
攻击者就像走进了一栋办公楼,保险柜确实锁得很严,但走廊的钥匙盘上,密密麻麻挂着各种备用钥匙,每一把都贴着”非敏感”的标签。
第四步:全面渗透
拿到环境变量后,攻击者的行动速度惊人。Vercel CEO Guillermo Rauch后来表示,他强烈怀疑攻击者借助了AI来大幅提升效率——“他们行动神速,对Vercel的系统了如指掌。”
最终,攻击者获取了:
- 580条员工信息:姓名、邮箱、账号状态、操作时间戳
- 企业版内部管理后台权限
- 部分源代码与数据库数据
- 部署环境凭证:包括NPM令牌、GitHub令牌、内部API密钥
- Linear项目管理工具的访问权限
这些凭证的潜在危害远不止Vercel本身。通过GitHub和GitLab令牌,攻击者理论上可以访问关联的代码仓库,篡改构建流程,甚至在用户访问合法域名时注入恶意代码——形成一条从开发工具到终端用户的完整供应链攻击链。
第五步:200万美元的勒索
4月19日,一名自称隶属于ShinyHunters的威胁行为者在黑客论坛BreachForums上发帖,以200万美元的价格挂牌出售窃取的数据。帖子中写道:”大家好,今天我出售来自Vercel公司的访问密钥、源代码和数据库。如果操作得当,这可能是有史以来最大规模的供应链攻击。”
ShinyHunters这个名字对安全圈来说并不陌生——这个组织曾因入侵Rockstar Games、Pornhub等知名企业而声名大噪。但蹊跷的是,ShinyHunters核心成员随后公开否认参与此事。安全研究人员认为,此次事件更可能是某个冒名者借用该组织的声誉为自己的数据兜售增添可信度。
无论是真是假,攻击者还通过Telegram与Vercel直接接触,索要200万美元赎金,双方一度展开谈判,但最终未达成一致。
为什么这起事件如此危险
没有零日,没有高级漏洞,只靠”信任”
这起入侵最令人不安的地方,在于攻击者没有使用任何零日漏洞或高级渗透技术。整条攻击链的核心,是OAuth权限的过度信任和环境变量管理的疏漏。
换句话说,Vercel的”锁”都是好的,问题出在他们把钥匙交给了谁,以及钥匙串上挂着哪些备用钥匙。
这种攻击模式的可怕之处在于它的可复制性。全球有数百万SaaS应用通过OAuth与Google Workspace、Microsoft 365等身份提供商集成。每一个集成都意味着一条潜在的信任链,而大多数企业对这些第三方应用的安全状况一无所知。
AI工具成为新的攻击面
Context.ai不是什么不知名的小工具——它是一家由前谷歌高管创立的正规AI平台。但”正规”不代表”安全”。
随着AI工具在企业中大规模普及,每一个接入企业系统的AI应用都在扩大攻击面。员工为了效率,授权这些工具访问邮箱、文档、代码仓库,却很少审视它们的权限范围和安全实践。
讽刺的是,Vercel正将自身定位为”AI云平台”,大力推广AI集成功能。而这次入侵恰恰从一个AI工具的漏洞开始,直插核心系统。
供应链连锁反应
Vercel不是一座孤岛。作为全球最大的前端部署平台之一,它承载着数百万个生产应用的运行。一旦攻击者通过窃取的令牌获取了GitHub仓库的写入权限,理论上可以:
- 修改源代码,在构建过程中注入恶意依赖
- 篡改前端应用代码,让用户在访问合法域名时加载恶意脚本
- 利用部署凭证发布带有后门的版本
Vercel在事后确认,所有npm包均未遭到篡改,Next.js和Turbopack等核心开源项目安全。但这个结论是”事后确认”而非”事前保证”——如果攻击者的目标不是兜售数据而是投毒供应链,后果将不可估量。
那些被忽略的红色信号
回顾整起事件,有几个信号值得所有企业警惕:
信号一:员工设备感染信息窃取木马
Lumma Stealer通过游戏外挂脚本传播,这条路径看起来跟企业安全八竿子打不着。但边界早已模糊——员工的个人设备登录着企业账号,浏览器保存着工作凭证。一台中了木马的个人电脑,就是企业内网的一扇窗户。
信号二:第三方OAuth应用的过度权限
Context.ai的OAuth应用被授予了访问员工Google Workspace账户的权限。这种授权在SaaS环境中几乎是默认操作,但很少有人追问:这个AI评估工具,真的需要读取我所有邮件的权限吗?
信号三:环境变量的分级管理失效
“敏感”与”非敏感”的区分本意是提高灵活性,实际效果却是制造了安全盲区。大量密钥和令牌被归入”非敏感”类别,绕过了加密保护,成为攻击者最容易摘到的低垂果实。
信号四:缺乏对异常OAuth活动的监控
攻击者通过OAuth合法进入系统,没有触发任何入侵检测告警。直到他们在黑客论坛公开兜售数据,Vercel才察觉异常。这意味着Vercel(以及大多数企业)对OAuth活动的监控几乎为零。
行业震荡与后续影响
事件曝光后,Vercel迅速启动应急响应:聘请谷歌旗下Mandiant团队协助调查,通报执法部门,全面排查供应链安全。同时紧急更新管理后台,优化敏感环境变量管控,新增总览页面强化监控。
但行业层面的连锁反应已经开始。竞争对手Netlify和Render趁机接触Vercel客户,大打”安全牌”争夺市场。对于正在冲刺IPO的Vercel来说,这次事件不仅是技术和声誉的重创,更可能直接影响估值和投资者信心。
对开发者社区而言,信任的裂痕更加微妙。Vercel一直以”开发者体验”为核心卖点,而这次事件暴露了一个残酷的现实:最好的开发者体验,往往建立在最宽松的安全策略之上。
防御启示:每个企业都需要回答的四个问题
Vercel入侵事件不是个案,而是一个行业性的预警。每个依赖云平台和第三方工具的企业,都需要认真回答以下四个问题:
1. 你知道你的员工授权了哪些第三方应用吗?
大多数企业对员工通过OAuth授权的第三方应用毫无感知。建议定期审计Google Workspace/Microsoft 365中的应用授权列表,撤销不必要的权限。
2. 你的环境变量里,有多少”非敏感”的密钥?
立刻检查所有环境变量,将API密钥、令牌、数据库凭据全部标记为”敏感”并启用加密。不要给攻击者留下低垂的果实。
3. 你能检测到异常的OAuth活动吗?
建立OAuth活动的监控和告警机制,特别是来自第三方应用的异常访问模式——比如一个AI工具在凌晨3点开始批量读取环境变量。
4. 你的员工设备,真的安全吗?
企业安全边界早已从”公司网络”扩展到”员工设备”。实施端点检测与响应(EDR),限制个人设备上保存企业凭证,定期扫描恶意软件。
结语
Vercel入侵事件是一面镜子,照出了AI时代企业安全最深的软肋:不是技术不够强,而是信任太廉价。
我们习惯了用OAuth一键授权,用AI工具提升效率,用环境变量管理配置——每一个选择都在便利与安全之间做了取舍。而攻击者要做的,只是找到那个取舍中倾斜的支点。
当”效率优先”成为默认选项,安全就成了那个永远排不上日程的待办事项。直到有一天,有人在黑客论坛上以200万美元出售你的数据,你才意识到——那扇你从没上锁的侧门,早就被人盯上了。
对于Vercel和整个云开发行业来说,这是一次痛苦但必要的觉醒。而对于我们每一个人来说,问题的答案很明确:现在就去检查你的OAuth授权列表,把那些你不再使用的第三方应用权限,统统撤销。
不要等小偷进了门,才想起换锁。