Vercel 2026年4月安全事件

# Vercel 2026 年 4 月安全事件 | Vercel 知识库 来源：https://vercel.com/kb/bulletin/vercel-april-2026-security-incident 我们已发现一起安全事件，涉及对某些 Vercel 内部系统的未授权访问。我们正在积极调查，并已聘请事件响应专家协助调查和修复。我们已通知执法部门，并将在调查取得进展时更新此页面。 本公告包含以下内容： - 更新（https://vercel.com/kb/bulletin/vercel-april-2026-security-incident#updates） - 受影响对象（https://vercel.com/kb/bulletin/vercel-april-2026-security-incident#who-is-impacted） - 已掌握的情况（https://vercel.com/kb/bulletin/vercel-april-2026-security-incident#what-we-know） - 建议（https://vercel.com/kb/bulletin/vercel-april-2026-security-incident#recommendations） - 入侵指标（IOC）（https://vercel.com/kb/bulletin/vercel-april-2026-security-incident#indicators-of-compromise-iocs） | 日期 | 更新内容 | |------------------------------|------------------------------------------------------------------------------------------------------------------------------------| | 4 月 19 日，下午 6:01（太平洋时间） | 我们发布了关于攻击来源（https://vercel.com/kb/bulletin/vercel-april-2026-security-incident#what-we-know）的信息，以及更多建议（https://vercel.com/kb/bulletin/vercel-april-2026-security-incident#recommendations）。 | | 4 月 19 日，上午 11:04（太平洋时间） | 我们发布了 IOC（https://vercel.com/kb/bulletin/vercel-april-2026-security-incident#indicators-of-compromise-iocs），以支持更广泛的社区在其环境中调查和甄别潜在的恶意活动。 | 最初，我们识别出一小部分客户的 Vercel 凭证遭到入侵。我们已联系这部分客户，并建议立即轮换凭证。 如果您未收到我们的联系，目前我们没有理由认为您的 Vercel 凭证或个人数据已遭泄露。 我们仍在调查是否有数据被窃取以及具体内容，若发现更多入侵证据，将联系相关客户。我们已经部署了广泛的防护措施和监控。我们的服务仍正常运行。 该事件的源头是第三方 AI 工具 Context.ai 遭到入侵，Vercel 的一名员工使用了该工具。攻击者利用该访问权限接管了该员工的 Vercel Google Workspace 账户，从而得以访问部分 Vercel 环境以及未被标记为“敏感”的环境变量。 在 Vercel 中标记为“敏感”的环境变量以阻止读取的方式存储，目前我们没有证据表明这些值已被访问。 根据攻击者的操作速度和其对 Vercel 系统的详细了解，我们判断其为高度复杂的攻击者。我们正在与 Mandiant、其他网络安全公司、行业同行以及执法部门合作。我们还直接联系了 Context.ai，以了解其底层入侵的完整范围。 在我们继续采取措施保护 Vercel 系统和客户的同时，以下是最佳实践建议： - 检查您账户和环境的**活动日志**，寻找可疑活动。您可以通过仪表盘（https://vercel.com/activity-log）或 CLI（https://vercel.com/docs/cli/activity）查看活动日志。 - 检查并轮换**环境变量**（http://vercel.com/all-env-vars）。如果您的任何环境变量包含秘密（API 密钥、令牌、数据库凭据、签名密钥）且未被标记为敏感，则这些值应视为可能已暴露，并优先进行轮换。 - 今后请利用**敏感环境变量**（https://vercel.com/docs/environment-variables/sensitive-environment-variables）功能，以保护秘密值免于被读取。 - 检查最近的**部署**（https://vercel.com/d?to=%2F%5Bteam%5D%2F%7E%2Fdeployments），查找异常或可疑的部署。如有疑问，请删除相关部署。 - 确保**部署保护**（https://vercel.com/d?to=%2F%5Bteam%5D%2F%7E%2Fsettings%2Fdeployment-protection）至少设置为“标准”。 - 如果已设置，轮换您的**部署保护令牌**（https://vercel.com/docs/deployment-protection/methods-to-bypass-deployment-protection/protection-bypass-automation）。 如需帮助轮换您的秘密或获取其他技术支持，请通过 vercel.com/help（http://vercel.com/help）联系我们。 我们的调查显示，该事件源于一个小型第三方 AI 工具，其 Google Workspace OAuth 应用遭到广泛入侵，可能影响了其跨多个组织的数百名用户。 我们发布了以下 IOC，以支持更广泛的社区在其环境中调查和甄别潜在的恶意活动。我们建议 Google Workspace 管理员和 Google 账户所有者立即检查该应用的使用情况。 OAuth 应用： 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com