Thông báo Gate News, ngày 23 tháng 4 — Vercel cho biết vào ngày 19 tháng 4 rằng sự cố bảo mật của hãng, ban đầu được mô tả là ảnh hưởng đến "một nhóm khách hàng giới hạn," đã mở rộng sang một cộng đồng nhà phát triển rộng lớn hơn nhiều, đặc biệt là những người đang xây dựng các quy trình làm việc tác nhân AI. Cuộc tấn công có thể ảnh hưởng đến hàng trăm người dùng trên nhiều tổ chức, không chỉ giới hạn ở Vercel mà còn có khả năng tác động đến toàn ngành công nghệ.

Vụ xâm nhập bắt nguồn khi một nhân viên của Context.ai bị lây nhiễm mã độc Lumma Stealer sau khi tải xuống một tập lệnh Roblox Auto-farm và các công cụ khai thác game. Mã độc đã xâm phạm thông tin đăng nhập Google Workspace của nhân viên và các khóa truy cập tới các nền tảng bao gồm Supabase, Datadog và Authkit. Sau đó, kẻ tấn công sử dụng một token OAuth bị đánh cắp để truy cập tài khoản Google Workspace của Vercel, tài khoản này được tạo bằng tài khoản doanh nghiệp của Vercel với quyền "cho phép tất cả". Khi đã vào được, kẻ tấn công đã giải mã các biến môi trường không nhạy cảm, dù dữ liệu nhạy cảm vẫn được bảo vệ nhờ các biện pháp lưu trữ của Vercel.

Các nhà phát triển AI phải đối mặt với rủi ro cao hơn vì họ thường lưu trữ các thông tin xác thực quan trọng—chẳng hạn như khóa API OpenAI hoặc Anthropic, chuỗi kết nối cơ sở dữ liệu vector, bí mật webhook và token công cụ bên thứ ba—trong các biến môi trường mà không tự tay đánh dấu chúng là dữ liệu nhạy cảm. Những thông tin xác thực này không được hệ thống tự động gắn cờ, khiến chúng dễ bị lộ ra.

Để ứng phó, Vercel đã cập nhật nền tảng của mình để mọi biến môi trường mới được tạo đều được đánh dấu là nhạy cảm theo mặc định. Nhóm bảo mật của công ty đã chia sẻ mã định danh duy nhất của ứng dụng OAuth bị xâm phạm, đồng thời kêu gọi các quản trị viên Google Workspace rà soát nhật ký truy cập. Context.ai, với sự hỗ trợ của CTO Nudge Security Jaime Blasco, đã phát hiện thêm việc cấp quyền OAuth với quyền truy cập Google Drive và ngay lập tức thông báo cho các khách hàng bị ảnh hưởng kèm các bước khắc phục.

Xem nguồn

Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ các nguồn bên thứ ba và chỉ mang tính chất tham khảo. Thông tin này không phản ánh quan điểm hoặc ý kiến của Gate và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Giao dịch tài sản ảo tiềm ẩn rủi ro cao. Vui lòng không chỉ dựa vào thông tin trên trang này khi đưa ra quyết định. Để biết thêm chi tiết, vui lòng xem Tuyên bố miễn trừ trách nhiệm.

Tin tức liên quan

04-23 14:41

OpenClaw 2026.4.22 Hợp nhất vòng đời plugin trên Codex và Pi Harness, giảm thời gian tải plugin lên đến 90%

04-23 09:02

GoPlus AgentGuard ra mắt Chế độ Checkup để tăng cường bảo mật Web3 cho tác nhân AI

04-23 08:32

OpenAI Ra Mắt Các Tác Nhân Không Gian Làm Việc của ChatGPT để Tự Động Hóa Quy Trình Doanh Nghiệp

04-23 05:28

Google Jules tái định vị thành Nền tảng phát triển sản phẩm theo định hướng tác nhân từ đầu đến cuối, mở danh sách chờ cho phiên bản mới

04-23 03:46

CEO Vercel Xác Nhận Mã Độc Được Phát Tán Vượt Ra Ngoài Vụ Vi Phạm Context.ai, Nhắm Mục Tiêu Là Thông Tin Đăng Nhập Tài Khoản

Phân tích chuyên sâu