Odaily星球日報訊 Vercel 公布安全事件分析,指出其部分內部系統遭未授權訪問,起因是一名員工使用的第三方 AI 工具 Context.ai 被攻破,攻擊者借此接管其 Google Workspace 帳戶並訪問部分環境配置數據。
初步影響為少量未標記為「敏感」的環境變數(如 API 密鑰、Token 等)可能被洩露,已通知相關用戶並建議立即輪換憑證。目前尚無證據顯示被標記為「敏感」的數據或供應鏈(如 npm 包)遭到篡改。
Vercel 表示攻擊者具備較高技術水平,已聯合 Mandiant 及多家安全機構展開調查,並已向執法部門報案。同時強調平台服務仍正常運行,並建議用戶啟用多重認證、全面輪換潛在洩露的環境變數,並檢查帳戶活動日誌及部署記錄,以防止進一步風險。