การรั่วไหลด้านความปลอดภัยของ Vercel ขยายวงสู่ผู้ใช้หลายร้อยคน; นักพัฒนา AI เสี่ยงสูงขึ้น

ข้อความข่าว Gate วันที่ 23 เมษายน——Vercel เปิดเผยเมื่อวันที่ 19 เมษายนว่าเหตุการณ์ด้านความปลอดภัย ซึ่งเดิมอธิบายว่า “กระทบลูกค้ากลุ่มจำกัด” ได้ขยายวงกว้างไปสู่ชุมชนนักพัฒนาซอฟต์แวร์ที่กว้างขึ้นมาก โดยเฉพาะผู้ที่กำลังสร้างเวิร์กโฟลว์ของเอเจนต์ AI การโจมตีอาจกระทบผู้ใช้หลายร้อยคนในหลายองค์กร ไม่ได้จำกัดอยู่แค่ Vercel เท่านั้น แต่มีโอกาสส่งผลต่ออุตสาหกรรมเทคโนโลยีในวงกว้างด้วย.

การละเมิดเกิดขึ้นเมื่อพนักงานของ Context.ai ติดมัลแวร์ Lumma Stealer หลังจากดาวน์โหลดสคริปต์ Roblox Auto-farm และเครื่องมือสำหรับใช้ประโยชน์จากช่องโหว่ในเกม มัลแวร์เข้าถึงข้อมูลเข้าสู่ระบบ Google Workspace ของพนักงานและคีย์การเข้าถึงไปยังแพลตฟอร์มต่างๆ รวมถึง Supabase, Datadog และ Authkit จากนั้นผู้โจมตีนำโทเค็น OAuth ที่ถูกขโมยไปใช้เพื่อเข้าถึงบัญชี Google Workspace ของ Vercel ซึ่งถูกสร้างขึ้นด้วยบัญชีองค์กรของ Vercel และมีสิทธิ์แบบ “อนุญาตทั้งหมด” เมื่อเข้าไปแล้ว ผู้โจมตีถอดรหัสตัวแปรสภาพแวดล้อมที่ไม่อ่อนไหว แม้กระนั้นข้อมูลที่อ่อนไหวยังคงได้รับการปกป้องเนื่องจากมาตรการป้องกันการจัดเก็บของ Vercel.

นักพัฒนา AI เผชิญความเสี่ยงที่เพิ่มสูงขึ้น เพราะโดยทั่วไปพวกเขาจะเก็บข้อมูลรับรองที่สำคัญ—เช่นคีย์ API ของ OpenAI หรือ Anthropic, สตริงการเชื่อมต่อของฐานข้อมูลเวกเตอร์, ความลับของ webhook และโทเค็นของเครื่องมือบุคคลที่สาม—ไว้ในตัวแปรสภาพแวดล้อม โดยไม่ได้ทำเครื่องหมายว่าเป็นข้อมูลอ่อนไหวด้วยตนเอง ข้อมูลรับรองเหล่านี้จะไม่ได้ถูกตรวจพบว่าเป็นความเสี่ยงโดยระบบโดยอัตโนมัติ ทำให้เสี่ยงต่อการถูกเปิดเผย.

เพื่อตอบสนอง Vercel ได้อัปเดตแพลตฟอร์มของตน โดยให้ตัวแปรสภาพแวดล้อมที่ถูกสร้างใหม่ทั้งหมดถูกตั้งให้เป็นข้อมูลอ่อนไหวโดยค่าเริ่มต้น ทีมความปลอดภัยของบริษัทได้แชร์ตัวระบุเฉพาะของแอป OAuth ที่ถูกบุกรุก พร้อมเรียกร้องให้ผู้ดูแล Google Workspace ตรวจสอบบันทึกการเข้าถึง Context.ai ซึ่งได้รับความช่วยเหลือจากรองประธานฝ่ายเทคโนโลยี (CTO) ของ Nudge Security อย่าง Jaime Blasco ตรวจพบการให้สิทธิ์ OAuth เพิ่มเติมที่มีสิทธิ์เข้าถึง Google Drive และแจ้งเตือนไปยังลูกค้าที่ได้รับผลกระบทันที พร้อมขั้นตอนการแก้ไขปัญหา.