4月19日,周日下午,Vercel 在官网发布了一则安全公告。
用词很克制:"我们发现了一起安全事件,涉及对 Vercel 某些内部系统的未经授权访问,影响了有限数量的客户。" 但公告同时透露,公司已聘请外部事件响应专家介入调查,并通知了执法部门。
紧接着,暗网论坛 BreachForums 上出现了一则帖子,发帖者自称是知名黑客组织 ShinyHunters 成员,声称已经掌握 Vercel 的内部数据,开价 200 万美元,首付 50 万美元比特币。作为"货到付款"的证明,对方放出了一份含有 580 条 Vercel 员工记录的文本文件,包含姓名、公司邮箱、账户状态和活动时间戳,以及一张疑似内部企业管理后台的截图。
这个时间节点很微妙。事件发生在周末,Vercel 的大量用户是在 Hacker News 的一个帖子里最先得知消息的,时间早于公司向他们直接发送通知。
攻击者究竟是怎么进来的?
答案在 Vercel CEO Guillermo Rauch 事后发在 X 上的说明里。入口不是 Vercel 自身,而是一名员工使用的第三方 AI 工具 Context.ai。攻击者通过 Context.ai 关联的一个 Google Workspace OAuth 应用,获取了该员工的账户访问权限,继而横向进入 Vercel 的内部环境。
这就是今天最典型的攻击路径。不打正门,从侧门进——而这扇侧门,是一个被信任的 AI 集成工具。
Vercel 是什么,为什么这件事不只是一家公司的麻烦
对很多人来说,Vercel 这个名字可能有些陌生。但如果你用过任何一个用 AI 快速生成的网页应用,十有八九,它部署在 Vercel 上。
Vercel 是一个面向开发者的"前端云平台"。你写好代码,推送到 GitHub,Vercel 自动帮你编译、部署、上线,全球 CDN 加速,几乎不需要运维知识。它还是最流行的 React 框架 Next.js 的官方维护者,Next.js 目前每周下载量约为 600 万次。 在 AI 编程浪潮兴起之后,Vercel 成为了"Vibe Coding"生态里最核心的基础设施之一。所谓 Vibe Coder,是指那批借助 Cursor、Claude、Bolt 等 AI 工具,用自然语言快速生成代码、做出产品原型的开发者。他们未必有传统工程师的背景,但能在几小时内把一个想法变成可以运行的网站。
这类项目最常见的技术组合,就是 Vercel 负责部署,Supabase 负责数据库。前者解决"代码怎么上线",后者解决"数据存哪里"。两者都主打"零运维",对 Vibe Coder 几乎是默认选项。
这也是为什么这次事件的影响面,远超一家公司自身的数据安全。许多加密货币和 Web3 项目的前端都部署在 Vercel 上,从钱包连接器到去中心化应用界面,这些项目的 API 密钥、私有 RPC 端点、钱包相关密钥都可能存储在环境变量中。 一旦这些凭证泄露,潜在的损失不只是数据,而是真实的资产。
"非敏感"变量,才是真正的雷区
事件细节里有一个关键区分,值得单独说清楚。
Vercel 的系统对环境变量有两种分类:标注为"敏感"的变量,会被加密存储,无法被读取;而没有打标的普通变量,则处于相对裸露的状态。此次攻击者能够读取的,正是这部分未被标注为敏感的环境变量。Vercel 方面表示,明确标注为"敏感"的变量没有被访问的证据。
问题是,这个"敏感"标注,长期以来是由开发者自己判断、自己操作的。
大量的 Vibe Coder,乃至很多有经验的工程师,在配置环境变量时未必会逐一评估每个值的风险等级。数据库连接字符串、第三方服务的 API key、GitHub 的 access token。这些东西往往随手塞进变量里,根本没有标"敏感"。平台的安全机制是完整的,但它依赖用户的正确操作才能生效。
安全研究人员长期以来警告,即使是看似无害的配置数据,也可能让攻击者跳板进入具有更广权限的下游服务。"非敏感"往往反映的是内部分类策略,而非真实的可利用风险。这是一个经典的"平台安全≠用户安全"的问题。
供应链攻击的幽灵
此次事件里最让安全圈不安的,不是 580 条员工数据,而是 ShinyHunters 在帖子里暗示的潜在路径。
如果攻击者真的掌握了 Vercel 内部构建系统的访问权限,那理论上他们可以对数百万开发者每周拉取的 Next.js 包动手脚,这将是一次供应链攻击。 Vercel 方面随后确认,Next.js 及其供应链目前不受此次事件影响。但这个"理论上可以",已经足够说明问题的严重性。
2020 年的 SolarWinds 事件,是供应链攻击的教科书案例:攻击者入侵了一个被数千家企业信赖的软件构建系统,恶意代码随正常更新被推送给全部用户,等待被发现时,漏洞已经存续了数月。Vercel 的处境,结构上与之高度相似。它不是一家公司的 IT 系统,而是承载着数以万计 web 应用的构建和部署流水线。
这也是 ShinyHunters 的叫价敢开到 200 万美元的逻辑所在:买的不是数据,是可能的"杠杆"。
这件事真正值得记住的,不是 Vercel
几个并行的现实:
第一,攻击入口是一个第三方 AI 工具。Context.ai 的 Google Workspace OAuth 应用被攻破,攻击者借此进入了 Vercel 的内部环境。这一入口并非 Vercel 直接暴露,而是通过一条被信任的集成链路渗透进来的。 这意味着,这次攻击的真正目标可能不止 Vercel 一家。使用相同 AI 工具的其他公司,都面临同等风险。
第二,这次事件在 Vercel 计划 IPO 前夕曝光。此前几天,外界还在报道 Vercel 营收同比增长 240%、由企业客户大规模采用 AI 部署工作流驱动。 一次安全事件叠加上市静默期的沟通限制,对投资者传递的信号极其复杂。
第三,是更大的行业信号。今天的 AI 生态里,每个开发者的工具链上,都接入了大量第三方 AI 服务,用于代码补全、上下文检索、文档生成、日志分析。这些工具以 OAuth 授权的方式,合法地连接着开发者的 GitHub、Google Workspace、内部系统。它们的安全性,从未经过像 AWS 或 GitHub 那样的大规模审查。
Vibe Coder 们习惯了快速接入、快速上线,安全配置往往是最后才想到的事。这次 Vercel 事件,只是让这件长期被推迟的账,提前落到了桌面上。
不打正门,从 AI 工具进来,这可能是接下来几年里,最主流的企业入侵路径之一。
END本文来自至顶AI实验室,一个专注于对AI计算机、工作站及各类AI相关硬件设备,开展基于真实使用场景评测的研究机构。
