Vercel 披露 2026 年 4 月安全事件:第三方工具失陷后波及部分客户凭证
Vercel 于 2026 年 4 月 20 日发布安全公告称,公司发现一起涉及部分内部系统的未授权访问事件,已启动调查、引入事件响应专家并通知执法部门。公告显示,当前确认受影响的是一小部分客户,这部分用户已被单独联系并被建议立即轮换相关凭证;Vercel 同时表示,如未收到通知,现阶段没有理由认为其 Vercel 凭证或个人数据已遭泄露,平台服务目前仍保持正常运行。
按照 Vercel 已披露的调查结果,此次事件的起点是第三方 AI 工具 Context.ai 被攻破。攻击者随后接管了一名 Vercel 员工的 Google Workspace 账户,并借此访问了部分 Vercel 环境,以及未被标记为“sensitive”的环境变量。Vercel 称,被标记为敏感的环境变量采用不可直接读取的存储方式,目前没有证据表明这些值已被访问。公司还表示,正与 Mandiant、其他网络安全机构、行业伙伴和执法部门协作推进调查,并已公开一项与相关 Google Workspace OAuth 应用有关的 IOC,供外部组织自查。
Vercel
Vercel 于 2026 年 4 月 20 日发布安全公告称,公司发现一起涉及部分内部系统的未授权访问事件,已启动调查、引入事件响应专家并通知执法部门。公告显示,当前确认受影响的是一小部分客户,这部分用户已被单独联系并被建议立即轮换相关凭证;Vercel 同时表示,如未收到通知,现阶段没有理由认为其 Vercel 凭证或个人数据已遭泄露,平台服务目前仍保持正常运行。
按照 Vercel 已披露的调查结果,此次事件的起点是第三方 AI 工具 Context.ai 被攻破。攻击者随后接管了一名 Vercel 员工的 Google Workspace 账户,并借此访问了部分 Vercel 环境,以及未被标记为“sensitive”的环境变量。Vercel 称,被标记为敏感的环境变量采用不可直接读取的存储方式,目前没有证据表明这些值已被访问。公司还表示,正与 Mandiant、其他网络安全机构、行业伙伴和执法部门协作推进调查,并已公开一项与相关 Google Workspace OAuth 应用有关的 IOC,供外部组织自查。
Vercel
