Vercel 云平台安全事件分析

近期，云部署平台 Vercel 向 X（前推特）发布安全公告，确认其内部系统遭到未经授权的访问。威胁行为者通过一次被破坏的第三方 AI 工具——Context.ai 的 Google Workspace OAuth 应用实现入侵，获取了员工的工作账号权限，并利用这些权限访问了未标记为敏感的环境变量，进而窃取了源代码、API 密钥、内部部署凭证等大量数据。Vercel 监测到包含约 580 条员工信息的泄露文件，并已将相关 OAuth 应用的标识符公开，以帮助业界排查。公司表示，尽管部分客户环境变量未被静态加密，但其核心服务和大多数客户未受影响；已对管理后台推送更新，新增环境变量总览页并强化敏感凭证的保护。Vercel 正与执法部门合作，并邀请事件响应专家继续调查，同时提醒所有 Google Workspace 管理员检查可疑应用的使用情况。此次事件凸显了供应链及 OAuth 集成在现代软件供应链中的安全风险，也促使企业在使用第三方 AI 工具时需审慎评估其访问权限与加密措施。
专家建议：企业应对关键环境变量启用平台提供的静态加密功能，并定期轮换 API 密钥与 OAuth 令牌；对第三方集成（尤其是 AI 工具）进行严格的权限审计，最小化授权范围；在 CI/CD 流水线中加入凭证泄露检测与自动化撤销机制，确保异常行为能够在第一时间被发现并隔离。