Генеральний директор Vercel заявив, що недавня інцидент безпеки був здійснений «високоскладним» хакерським угрупованням, яке, ймовірно, використовувало штучний інтелект, що призвело до компрометації внутрішніх систем та витоку деяких облікових даних клієнтів.
«Ми вважаємо, що атакуюча група дуже досвідчена, і я сильно підозрюю, що штучний інтелект значно прискорив їхні атаки», — сказав генеральний директор Жильєрмо Лаух.Твіт Додав, що нападники «діють з дивовижною швидкістю і мають глибоке розуміння Vercel».
Ось оновлення щодо розслідування події, яке я повідомляю всій спільноті. Я хочу прямо і коротко прояснити ситуацію.
Співробітник компанії Vercel став жертвою атаки через компрометацію клієнта — платформи штучного інтелекту.https://t.co/xksNNigVfE Те, що він тоді використовував. Деталі…
— Guillermo Rauch (@rauchg)19 квітня 2026 року
Ця компанія є хмарною платформою для розробників, сказала в неділю, що виявила несанкціонований доступ до деяких внутрішніх систем і активно розслідує подію. Цей інцидент вплинув на деяких клієнтів, чиї облікові дані були скомпрометовані, тому компанія рекомендує клієнтам негайно змінити свої облікові дані.
Ця безпекова вразливість виникла через те, що третій бік — інструмент штучного інтелекту Context.ai, який використовував працівник Vercel, був скомпрометований; зловмисники використали цей інструмент, щоб взяти під контроль обліковий запис Google Workspace цього працівника та отримати доступ до деяких середовищ Vercel та нечутливих змінних середовища.
Це розкриття підкреслює зростаючі занепокоєння щодо безпеки, пов’язаних із сторонніми інтеграціями та інструментами штучного інтелекту, оскільки зловмисники все частіше використовують вразливості ланцюга поставок для проникнення в організації.
Vercel та криптовалюта
Наталі Ньютсон, старший дослідник безпеки блокчейну в CertiK, сказала Decrypted, що цей інцидент особливо звернув увагу розробників криптовалют. «Оскільки багато криптовалютних фронтендів використовують Vercel для хостингу своїх інтерфейсів, після компрометації зловмисники можуть впровадити шкідливий код, що краде кошти з гаманців. Користувачі, які взаємодіють із відомими сторінками, не очікують жодних зловмисних дій», — додала вона, підкресливши, що вразливості в криптовалютній сфері можуть призвести до… великих фінансових втрат
Навіть якщо розумні контракти залишаються безпечною системою, втручання у фронтенд все ще становить ризик. «Втручання у фронтенд особливо шкідливе для кінцевих користувачів», — зазначила вона, підкресливши це. Біржа Bull у квітні цього року зазнала випадку крадіжки коштів із гаманців користувачів на суму 316 000 доларів США.
Вона сказала, що зростаюча тенденція 智能体人工智能 призвела до того, що багато користувачів публікують останні додатки та розширення для підвищення ефективності роботи, а зловмисники також використовують цю тенденцію. Вона сказала: «Підприємства повинні бути надзвичайно обережними при використанні нових додатків і розширень штучного інтелекту, а також перевіряти внутрішні моделі безпеки, щоб забезпечити мінімізацію наслідків у разі виникнення порушення безпеки».
Рох вказав, що атака була здійснена за допомогою «серії дій», спочатку були скомпрометовані облікові записи працівників, а потім здійснено поступове підвищення привілеїв, що дозволило отримати більший доступ до внутрішнього середовища. Хоча Vercel зберігає змінні оточення клієнтів у зашифрованому вигляді, компанія дозволяє позначати деякі змінні як нечутливі, і атакувач отримав доступ до цих змінних.
Компанія вважає, що кількість вплинутих клієнтів обмежена, і повідомила, що вже зв’язалася з клієнтами, які, ймовірно, постраждали. Vercel після цього впровадила додаткові заходи моніторингу та захисту, а також провела огляд своєї ланцюжки поставок, щоб забезпечити безпеку проектів, таких як Next.js і Turbopack.
Генеральний директор Nillion Джон Вудс сказав Decrypt, що цей «обмежений підмножина» зазвичай означає, що наразі спостерігається обмежений круг вплинутих клієнтів, але це не виключає більш широкого внутрішнього поширення чи більш широких наслідків. Вудс сказав: «У сучасних хмарних платформах масштаб впливу залежить не лише від початкової кількості очевидно вплинутих клієнтів, а й від того, наскільки далеко поширені пошкоджені системи у тилу».
Він порекомендував компаніям дотримуватися ряду найкращих практик, щоб уникнути таких ситуацій: «Посилити безпеку OAuth-авторизації, застосувати принцип мінімальних прав, строго контролювати чутливі змінні оточення, розділити розгортання фронтенду від ключів або прав підпису та уважно моніторити розгортання та журнали».
«Для будь-кого, хто може стати жертвою викрадення облікових даних, пріоритетом є відкликання доступу, зміна облікових даних та перевірка кожної системи, до якої ці облікові дані мали доступ», — додав він, зазначивши: «З більш високого рівня, урок полягає у уникненні архітектур, які при одному витоку можуть мати надто широкий вплив».
Зараз невідомо, хто спланував цю атаку. Скріншот Користувач групи хакерів під назвою «ShinyHunters» на форумі стверджує, що вже взяв під контроль Vercel і продає доступ до даних компанії, включаючи вихідний код, API-ключі та внутрішні системи.
Цей актор (який, можливо, також видає себе за ShinyHunters) стверджує, що обговорював із компанією вимогу викупу у розмірі 2 мільйонів доларів США. Vercel поки що не коментував це.