Pesan Berita Gate, 23 April — Vercel mengungkap pada 19 April bahwa insiden keamanannya, yang awalnya dijelaskan memengaruhi "sebagian terbatas pelanggan," telah berkembang menjadi komunitas pengembang yang jauh lebih luas, khususnya mereka yang membangun alur kerja agen AI. Serangan tersebut dapat memengaruhi ratusan pengguna di beberapa organisasi, tidak terbatas hanya pada Vercel, tetapi berpotensi berdampak pada industri teknologi yang lebih luas.

Pelanggaran bermula ketika seorang karyawan Context.ai terinfeksi malware Lumma Stealer setelah mengunduh skrip Roblox Auto-farm dan alat eksploit game. Malware tersebut membobol kredensial login Google Workspace karyawan tersebut serta access key ke platform termasuk Supabase, Datadog, dan Authkit. Penyerang kemudian menggunakan token OAuth yang dicuri untuk mengakses akun Google Workspace Vercel, yang telah dibuat menggunakan akun perusahaan Vercel dengan izin "allow all". Setelah masuk, penyerang mendekripsi variabel lingkungan yang tidak sensitif, meskipun data sensitif tetap terlindungi berkat perlindungan penyimpanan Vercel.

Pengembang AI menghadapi risiko yang lebih tinggi karena mereka umumnya menyimpan kredensial penting—seperti kunci API OpenAI atau Anthropic, string koneksi basis data vektor, rahasia webhook, dan token alat pihak ketiga—di variabel lingkungan tanpa secara manual menandainya sebagai sensitif. Kredensial ini tidak otomatis ditandai oleh sistem, sehingga rentan terhadap paparan.

Sebagai respons, Vercel memperbarui platformnya sehingga semua variabel lingkungan yang baru dibuat ditandai sebagai sensitif secara default. Tim keamanan perusahaan membagikan pengidentifikasi unik dari aplikasi OAuth yang dikompromikan, mendesak administrator Google Workspace untuk mengaudit log akses. Context.ai, dengan bantuan CTO Nudge Security Jaime Blasco, mendeteksi pemberian izin OAuth tambahan dengan akses Google Drive dan segera memberi tahu pelanggan yang terdampak dengan langkah-langkah perbaikan.

Lihat Sumber

Penafian: Informasi di halaman ini mungkin berasal dari sumber pihak ketiga dan hanya untuk referensi. Ini tidak mewakili pandangan atau pendapat Gate dan bukan merupakan nasihat keuangan, investasi, atau hukum. Perdagangan aset virtual melibatkan risiko tinggi. Mohon jangan hanya mengandalkan informasi di halaman ini saat membuat keputusan. Untuk detailnya, lihat Penafian.

Berita Terkait

04-23 14:41

OpenClaw 2026.4.22 Menyatukan Siklus Hidup Plugin di Codex dan Pi Harness, Mengurangi Waktu Muat Plugin Hingga 90%

04-23 09:02

GoPlus AgentGuard Meluncurkan Mode Checkup untuk Memperkuat Keamanan Web3 Agen AI

04-23 08:32

OpenAI Meluncurkan Agen Workspace ChatGPT untuk Otomatisasi Alur Kerja Perusahaan

04-23 05:28

Google Jules Rebranding Menjadi Platform Pengembangan Produk Agentik End-to-End, Membuka Daftar Tunggu untuk Versi Baru

04-23 03:46

CEO Vercel Mengonfirmasi Malware Didistribusikan di Luar Pelanggaran Context.ai, Menarget Kredensial Akun

Analisis Kedalaman

Anthropic Mengungkapkan Bug Tiga Kali Tumpang Tindih pada Claude Code: Penurunan kemampuan penalaran, Lupa cache, dan Perintah 25 karakter yang berbalik menyerang

ChainNewsAbmedia04-23 18:14

Google Jules membuka daftar kandidat versi baru, dan mengarahkannya kembali sebagai platform pengembangan produk end-to-end

Market Whisper04-23 06:13

CEO Vercel: jangkauan serangannya melampaui Context.ai, dan telah memberi tahu korban lain yang diduga

Market Whisper04-23 05:06

Komentar

0/400

Tidak ada komentar