Vercel：第三方 AI 工具被攻破致內部系統遭未授權訪問，暫無敏感數據被篡改

深潮 TechFlow 消息，4 月 21 日，Vercel 公布安全事件分析，稱其部分內部系統遭未授權訪問，起因是一名員工使用的第三方 AI 工具 Context.ai 被攻破，攻擊者借此接管其 Google Workspace 帳戶並訪問部分環境配置數據。初步影響為少量客戶未標記為“敏感”的環境變數（如 API Key、Token 等）可能被洩露，已通知相關用戶並建議立即輪換憑證。目前尚無證據顯示被標記為“敏感”的數據或供應鏈（如 npm 包）遭到篡改。

Vercel 稱攻擊者具備較高技術水平，已聯合 Mandiant 及多家安全機構展開調查，並已向執法部門報案。同時強調平台服務仍正常運行。同時建議用戶啟用多重認證、全面輪換潛在洩露的環境變數，並檢查帳戶活動日誌及部署記錄，以防進一步風險。