Gate 新闻消息,4月23日——Vercel披露称,4月19日其安全事件起初被描述为影响“有限的客户群”,但现已扩展到更广泛的开发者社区,尤其是那些构建 AI 代理工作流的人。此次攻击可能影响数个组织中的数百名用户,并不局限于 Vercel 本身,但可能波及更广泛的科技行业。
该漏洞的起因是:Context.ai 的一名员工在下载 Roblox 的自动刷资源(Auto-farm)脚本以及游戏漏洞利用工具后,感染了 Lumma Stealer 恶意软件。恶意软件窃取了该员工的 Google Workspace 登录凭据,以及对包括 Supabase、Datadog 和 Authkit 在内的平台的访问密钥。随后,攻击者使用被盗的 OAuth 令牌访问了 Vercel 的 Google Workspace 账户,而该账户是使用 Vercel 企业账户创建的,且拥有“允许所有(allow all)”权限。进入系统后,攻击者解密了非敏感的环境变量,但由于 Vercel 的存储防护,敏感数据仍受到保护。
由于 AI 开发者通常会在环境变量中存储关键凭据——例如 OpenAI 或 Anthropic API 密钥、向量数据库连接字符串、Webhook 密钥以及第三方工具令牌——而又不会手动将它们标记为敏感,因此他们面临更高的风险。这些凭据不会被系统自动标记,从而使其容易在暴露时遭到利用。
作为回应,Vercel 更新了其平台规则:所有新创建的环境变量默认都将标记为敏感。公司安全团队分享了被泄露的 OAuth 应用的唯一标识符,敦促 Google Workspace 管理员核查访问日志。Context.ai 在 Nudge Security 首席技术官(CTO)Jaime Blasco 的协助下,检测到一项额外的 OAuth 权限授权(包含 Google Drive 访问),并立即使用包含补救步骤的方式向受影响客户发出警报。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
杰夫·贝索斯的 Project Prometheus 以 $10B 的 $38B 估值 融资
Gate News 消息,4月24日——由亚马逊创始人杰夫·贝索斯(Jeff Bezos)和前谷歌高管维克·巴贾吉(Vik Bajaj)创立的人工智能实验室 Project Prometheus,已以 $10 十亿美元的估值,完成了一轮 $38 十亿美元的融资。摩根大通(JPMorgan Chase)和贝莱德(BlackRock)是
GateNews3 分钟前
OpenAI 发布 GPT-5.5,面向代理任务与复杂工作流程而设计
Gate News 消息,4月24日——OpenAI 已正式发布 GPT-5.5,这是一款下一代 AI 模型,旨在处理复杂目标、工具集成、自我验证以及多步骤任务完成。该模型在代码编写与调试、在线研究、数据分析、文档
GateNews18 分钟前
AI 代理初创公司 Band 融资 $17M 种子轮,由 Sierra Ventures、Hetz Ventures、Team8 牵头
Gate News 消息,4月24日——Band 是一家为 AI 代理构建通信与协作平台的初创公司,已完成一笔由 Sierra Ventures、Hetz Ventures 和 Team8 牵头的 $17 百万种子轮融资。该公司由 CEO Arick Goomanovsky 和 CTO Vlad Luzin 于 2025 年年中创立,开发用于让 AI 代理、人与企业系统之间进行实时协调的软件,
GateNews1小时前
OpenAI 推 GPT-5.5:12M 脈絡、AA 指數登頂、Terminal-Bench 82.7% 改寫代理基準
OpenAI 发布 GPT-5.5,主打代理式工作与企业知识处理,并同步于 ChatGPT 与 Codex 推出。要点含 1200 万 token 脉络视窗、AA Intelligence Index 60,领先 Claude Opus 4.7、Gemini 3.1 Pro;价格为每百万 token 输入 5 美元、输出 30 美元,输出 token 减少约 40%,实际成本上升约 20%。
鏈新聞abmedia6小时前
MagicBlock 发布 Mirage:面向 Solana 的命令行隐私支付工具
Gate News 消息,4月23日——MagicBlock 已发布 Mirage,这是一款面向 Solana 网络的命令行隐私支付工具。该工具使用户能够通过终端命令、机器人或 AI 代理创建钱包、存入资金,并发送私密交易。
Mirage 构建在 Private Ephemeral Rollups 之上
GateNews10小时前
