【安全资讯】Next.js开发商Vercel因第三方AI工具遭入侵导致客户凭证泄露

概要：

近日，知名开源Next.js网络开发框架的创建公司Vercel披露了一起安全事件，导致部分客户凭证遭到泄露。该事件源于其员工使用的第三方AI工具Context.ai遭到入侵，攻击者借此渗透了Vercel的内部系统。这起事件凸显了第三方服务集成，特别是新兴的AI代理工具，所带来的供应链安全风险，为科技行业敲响了警钟。

主要内容：

Vercel在4月19日发现其内部系统遭到未授权访问，导致“有限数量的客户”凭证泄露。公司已通知受影响客户并建议立即更换凭证。初步调查表明，攻击者并未访问标记为“敏感”的数据，但Vercel仍在评估是否有数据被窃取。

事件的根源在于第三方AI服务商Context.ai。攻击者首先入侵了Context.ai的AWS环境，并窃取了其部分消费者的OAuth令牌。其中一名Vercel员工曾使用其企业账户注册了Context.ai的“AI Office Suite”产品，并授予了“允许所有”的广泛权限。

攻击者利用从Context.ai窃取的OAuth令牌，成功访问了该员工的Vercel Google Workspace账户。由于Vercel内部的OAuth配置允许此类广泛权限，攻击者得以进一步访问Vercel的部分环境和未标记为“敏感”的环境变量，最终导致客户凭证泄露。

此次事件暴露了多方安全漏洞：Context.ai的安全防护不足，其聘请的CrowdStrike调查可能有所疏漏，而Vercel也未对其Google Workspace权限进行严格管控。这正体现了安全专家所警告的，能够连接第三方服务的AI代理产品所带来的新型安全风险。