Vercel 安全事件：第三方 AI 工具导致内部系统被侵入

近日，云计算平台 Vercel 在社交媒体上确认发生安全事件，称有未经授权的个人访问了其内部系统。经调查，攻击者利用一款被入侵的第三方 AI 工具的 Google Workspace OAuth 应用，获取一名员工的账号权限后，进一步渗透进入 Vercel 环境。攻击者通过枚举标记为“非敏感”的环境变量，获取了 API 密钥、GitHub 令牌以及部分内部部署凭证。Vercel 表明，已对受影响的环境变量进行标记并启动轮换，并已通报执法部门。公司强调其核心服务未受全局影响，但少量客户数据可能被泄露，正与受害者协作处理。Google Mandiant 团队正提供技术支持，Vercel 正全面审计供应链安全，并计划在未来加强对敏感环境变量的管理。
专家建议企业在使用云平台时，务必对关键凭证启用平台提供的静态加密功能，避免将敏感信息标记为非敏感。同时定期审计 OAuth 应用的权限范围，并对环境变量实施细粒度访问控制。加强对第三方集成的安全审查，以防供应链被利用。实施 防泄密 措施，可显著降低未来类似泄露风险。