Gate 新闻消息,4月23日——Vercel披露称,4月19日其安全事件起初被描述为影响“有限的客户群”,但现已扩展到更广泛的开发者社区,尤其是那些构建 AI 代理工作流的人。此次攻击可能影响数个组织中的数百名用户,并不局限于 Vercel 本身,但可能波及更广泛的科技行业。
该漏洞的起因是:Context.ai 的一名员工在下载 Roblox 的自动刷资源(Auto-farm)脚本以及游戏漏洞利用工具后,感染了 Lumma Stealer 恶意软件。恶意软件窃取了该员工的 Google Workspace 登录凭据,以及对包括 Supabase、Datadog 和 Authkit 在内的平台的访问密钥。随后,攻击者使用被盗的 OAuth 令牌访问了 Vercel 的 Google Workspace 账户,而该账户是使用 Vercel 企业账户创建的,且拥有“允许所有(allow all)”权限。进入系统后,攻击者解密了非敏感的环境变量,但由于 Vercel 的存储防护,敏感数据仍受到保护。
由于 AI 开发者通常会在环境变量中存储关键凭据——例如 OpenAI 或 Anthropic API 密钥、向量数据库连接字符串、Webhook 密钥以及第三方工具令牌——而又不会手动将它们标记为敏感,因此他们面临更高的风险。这些凭据不会被系统自动标记,从而使其容易在暴露时遭到利用。
作为回应,Vercel 更新了其平台规则:所有新创建的环境变量默认都将标记为敏感。公司安全团队分享了被泄露的 OAuth 应用的唯一标识符,敦促 Google Workspace 管理员核查访问日志。Context.ai 在 Nudge Security 首席技术官(CTO)Jaime Blasco 的协助下,检测到一项额外的 OAuth 权限授权(包含 Google Drive 访问),并立即使用包含补救步骤的方式向受影响客户发出警报。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
Vercel 开源 deepsec 框架,提供 1,000+ 个沙盒并发用于本地 AI 安全扫描
根据 Beating,Vercel 已开源 deepsec,这是一种由 AI 驱动的安全测试框架,使开发者能够在本地扫描大型代码库,而无需将源代码暴露给外部云服务。该框架采用多阶段的验证流程:在初始正则过滤之后,
GateNews2小时前
Agent Work Protocol 代币 AWP 在 24 小时内飙升超 300%;Ardinals 铭文子网启动
根据链上数据,Agent Work Protocol 的原生代币 AWP 在 5 月 4 日 24 小时内飙升超过 300%。AWP 是一个用于 AI 代理的工作协议,采用 100% 公平启动,不向 VC 分配、没有团队储备,也没有预售;所有代币都通过协议发行进行分配。该协议拥有
GateNews13小时前
Haun Ventures 在 5 月 4 日关闭 10 亿美元基金,在早期与后期加密投资之间分配资本
据 Bloomberg 称,Haun Ventures 于 5 月 4 日完成了一轮 10 亿美元的融资,其中 5 亿美元用于早期投资,5 亿美元用于后期投资。该基金将在未来两到三年内部署资金,面向加密货币和区块链初创企业,同时扩展
GateNews14小时前
中国阻止 Meta 的 US$2B Manus AI 收购
中国宣布将阻止 Meta 价值 20 亿美元的收购 AI 代理公司 Manus,理由是担忧将中国的人工智能知识产权转移给美国公司。根据 Tech in Asia 的报道。
Manus 是一家由中国创立的公司,将其总部迁至
Crypto Frontier05-04 02:12
Nous Research 推出 Hermes Agent v0.12.0,具备 Kanban 多代理协作系统
根据 Beating,Nous Research 的开源 Hermes Agent 框架在 v0.12.0 中引入了一个 Kanban 多智能体协作系统。该系统允许智能体以独立进程的方式运行,在并行的情况下从共享任务看板中自主认领并执行任务,取代
GateNews05-04 01:17
研究人员部署 DPN-LE 技术以编辑 AI 个性特征,仅编辑 0.5% 的神经元
据 BlockBeats 报道,5 月 3 日,AI 研究员 Brian Roemmele 披露其 Zero-Human Company 已部署 DPN-LE(Dual Personality Neuron Localization and Editing)技术,以精确调整
GateNews05-03 14:05
