Gate 新闻消息,4月23日——Vercel披露称,4月19日其安全事件起初被描述为影响“有限的客户群”,但现已扩展到更广泛的开发者社区,尤其是那些构建 AI 代理工作流的人。此次攻击可能影响数个组织中的数百名用户,并不局限于 Vercel 本身,但可能波及更广泛的科技行业。
该漏洞的起因是:Context.ai 的一名员工在下载 Roblox 的自动刷资源(Auto-farm)脚本以及游戏漏洞利用工具后,感染了 Lumma Stealer 恶意软件。恶意软件窃取了该员工的 Google Workspace 登录凭据,以及对包括 Supabase、Datadog 和 Authkit 在内的平台的访问密钥。随后,攻击者使用被盗的 OAuth 令牌访问了 Vercel 的 Google Workspace 账户,而该账户是使用 Vercel 企业账户创建的,且拥有“允许所有(allow all)”权限。进入系统后,攻击者解密了非敏感的环境变量,但由于 Vercel 的存储防护,敏感数据仍受到保护。
由于 AI 开发者通常会在环境变量中存储关键凭据——例如 OpenAI 或 Anthropic API 密钥、向量数据库连接字符串、Webhook 密钥以及第三方工具令牌——而又不会手动将它们标记为敏感,因此他们面临更高的风险。这些凭据不会被系统自动标记,从而使其容易在暴露时遭到利用。
作为回应,Vercel 更新了其平台规则:所有新创建的环境变量默认都将标记为敏感。公司安全团队分享了被泄露的 OAuth 应用的唯一标识符,敦促 Google Workspace 管理员核查访问日志。Context.ai 在 Nudge Security 首席技术官(CTO)Jaime Blasco 的协助下,检测到一项额外的 OAuth 权限授权(包含 Google Drive 访问),并立即使用包含补救步骤的方式向受影响客户发出警报。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
谷歌测试 Gemini 上的 AI 代理“Remy”,Rivals 开源 OpenClaw
据 Business Insider 称,谷歌正在 5 月 6 日为 Gemini 测试一款名为 Remy 的新 AI 代理。该代理目前仅对谷歌内部 Gemini 应用内的员工开放,它能够在工作、学习和日常任务中代表用户采取行动,同时并与谷歌其他产品/功能整合。
GateNews8 分钟前
Meta 计划推出由 Muse Spark 模型支持的 AI 助手,拟在 5 月 6 日与 OpenClaw 竞争 30 亿用户
据《金融时报》报道,Meta 正在 5 月 6 日构建一款高度个性化的 AI 助手,以与 OpenClaw 竞争,该助手由其全新的 Muse Spark 模型提供支持。该工具将面向公司的超过 30 亿用户,并且目前正在进行内部测试。该助手旨在让用户创建 AI
GateNews8 分钟前
WorldClaw 和 WLFI 推出 WorldRouter,提供对 300+ 个 AI 模型的访问,成本降低 30%
据 Foresight News,AI Agent 操作系统 WorldClaw 已与特朗普家族加密项目 WLFI 合作推出 WorldRouter。该平台使用户能够通过单一账户访问 30 多个主流 AI 模型,其费用大约比相应模型低 30%
GateNews10 分钟前
Cloudflare:AI 代理推动非人类流量,x402 提供解决方案
Cloudflare 首席战略官表示,目前超过一半的互联网流量已非人类,凸显了由 AI 代理和自动化系统驱动的网络使用模式出现重大转变。该高管指出,x402 Foundation 正在建设基础设施以应对这些挑战
Crypto Frontier2小时前
Solana 基金会,Google Cloud 推出 Pay.sh AI 代理支付系统
据周二的一则公告,Solana 基金会已与 Google Cloud 合作开发 Pay.sh,这是一套面向 AI 机器人的新型支付系统,可让代理使用 Solana 上的稳定币来发现、访问并为 API 用量付费。通过这一开放标准,AI 代理将能够
Crypto Frontier7小时前
Anthropic 周二推出 10 个面向金融服务的 AI 代理
Anthropic 周二推出了 10 个新的 AI 代理软件,旨在处理金融服务任务,包括起草客户会议演示文稿、审阅财务报表,并将案件升级以供合规审查。该软件面向银行、保险、资产管理和 fintech 领域的专业人士。
GateNews9小时前
