Vercel 遭入侵：OAuth 攻击暴露平台环境变量风险

# Vercel 入侵事件：OAuth 供应链攻击暴露平台环境变量中的隐藏风险 来源：https://www.trendmicro.com/en_us/research/26/d/vercel-breach-oauth-supply-chain.html **核心要点** - 攻击者通过入侵第三方 OAuth 应用，获得了无需密码即可长期访问 Vercel 内部系统的权限，证明 OAuth 信任关系可绕过传统边界防御。 - 事件影响因 Vercel 的环境变量模型被放大：未被显式标记为“敏感”的凭据在获得内部访问权限后仍可读取，导致平台级客户机密泄露。 - 公开报告的凭据泄露警报早于官方披露，凸显检测→通知延迟是平台入侵的关键风险因素。 - 该事件符合 2026 年更广泛的攻击收敛趋势（LiteLLM、Axios），攻击者持续瞄准 CI/CD、包仓库、OAuth 集成和部署平台中开发者存放的凭据。 - 有效防御需要架构变革：将 OAuth 应用视为第三方供应商、消除平台长期存活密钥，并基于“提供方可能被入侵”的前提进行设计。 *事态发展中 — 最后更新：2026 年 4 月 20 日（周一）* *本文分析基于发布时可公开获得的信息。事件仍在 Vercel 及相关方积极调查中，下游影响范围、精确初始访问向量、归因等关键细节可能随新信息而演变。对于信息缺口，我们已明确标注，而非臆测。防御建议与检测指导基于已确认的攻击链及已知的供应链入侵模式；组织应立即采取行动，无需等待完整细节。我们将随着新的技术细节、厂商披露或第三方研究出现而持续更新。* 入侵始于 2024 年 6 月左右，2026 年 4 月披露。攻击者利用 Context.ai 的 Google Workspace OAuth 应用被入侵，获得 Vercel 内部系统立足点，导致“数量未公开但据称有限”的客户项目环境变量泄露。https://vercel.comVercel 是一家广泛用于前端与无服务器应用的云部署和托管平台。 2026 年 4 月 19 日，Vercel 发布安全公告（https://vercel.com/kb/bulletin/vercel-april-2026-security-incident），CEO Guillermo Rauch 在 X 发布详细推文（https://x.com/rauchg/status/2045995362499076169），确认攻击链并点名 Context.ai 为被入侵第三方。 事件意义重大，因为它展示了 OAuth 供应链信任关系如何创建绕过传统边界防御的横向移动路径，同时 Vercel 的环境变量敏感级模型使“非敏感”凭据未在静态加密，攻击者获得内部权限即可读取。 本文剖析攻击链，评估放大爆炸半径的平台设计决策，将该入侵置于供应链攻击浪潮（LiteLLM（https://www.trendmicro.com/en_us/research/26/c/inside-litellm-supply-chain-compromise.html）、Axios（https://www.trendmicro.com/en_us/research/26/c/axios-npm-package-compromised.html）、Codecov、CircleCI）背景下，并为使用 Vercel 及类似 PaaS 平台的组织提供可落地的检测与加固指引。 **事件揭示了什么** 本次入侵的引人注目之处不在于技术复杂度（所用技术已广为人知），而在于三点更广泛的含义： - OAuth 放大效应：单一 OAuth 信任关系级联成平台级泄露事件，影响与受入侵供应商无直接关系的下游客户。 - AI 加速攻击手法：CEO 公开将攻击者异常速度归因于 AI 辅助——这是 2026 年关于“AI 加速对手”讨论中一个早期且高关注度的数据点。 - 检测→披露延迟：至少一份公开客户报告显示，在 Vercel 披露前 9 天，其凭据已被标记为泄露——引发对平台入侵检测→通知延迟的质疑。 ## 事件时间线 攻击从初始 OAuth 被入侵到公开披露，潜伏约 22 个月，与同类 OAuth 入侵一致：攻击者利用合法应用权限，很少触发标准检测控制。  图 1. 事件时间线，约 22 个月潜伏时间 | 时间 | 事件 | 确认状态 | |---|---|---| | ~2024 年 6 月 | Context.ai 的 Google Workspace OAuth 应用被入侵 | **已确认**——Rauch 声明 | | 2024 年 6 月 – 2025 年 | 攻击者通过被入侵 OAuth 令牌维持持久访问 | **已确认**——Vercel 公告 | | 2024 年末 – 2025 年初 | 攻击者从 Context.ai OAuth 访问横向移动到 Vercel 员工 Google Workspace 账户 | **已确认**——Rauch 声明 | | 2025 年初 – 2025 年中 | 访问 Vercel 内部系统；开始枚举客户环境变量 | **已确认**——Vercel 公告 | | ~2025 年 2 月 | 自称 ShinyHunters 关联者开始在 BreachForums 兜售 Vercel 数据 | **未证实**——仅威胁者自称 | | 2026 年 4 月 10 日 | OpenAI 通知某 Vercel 客户其 API 密钥泄露（客户 X 账号称） | **已报告**——单一来源 | | 2026 年 4 月 19 日 | Vercel 发布安全公告；Rauch 在 X 发长文点名 Context.ai | **已确认** | | 2026 年 4 月 19 日起 | 推出客户通知、凭据轮换指引及控制台改动 | **已确认** | 表 1. 关键事件及确认状态汇总 关键观察：从初始 OAuth 被入侵到公开披露，潜伏约 22 个月。Google Workspace OAuth 审计日志默认保留 6 个月，意味着最早入侵活动的取证可见性在调查前即已消失。 ## 攻击链 攻击利用现代 SaaS 环境普遍存在的信任链：第三方 OAuth 应用被授予访问企业 Google Workspace 账户的权限。  图 2. Vercel 入侵攻击链 ### 阶段 1：第三方 OAuth 被入侵 (T1199) Context.ai（提供 AI 分析工具）的 Google Workspace OAuth 应用被 Vercel 员工授权。攻击者入侵了该 OAuth 应用——具体入侵方式未公开。Rauch 称已“联系 Context 以协助了解事件全貌”，暗示 Context 自身可能未发现被入侵。 这是关键初始访问向量。OAuth 应用一旦获授权，即持有： - 无需用户密码 - 密码轮换后仍有效 - 通常拥有宽泛作用域（邮件、网盘、日历） - 初次授权后极少被审计 ### 阶段 2：Workspace 账户接管 (T1550.001) 利用被入侵 OAuth 应用的访问权限，攻击者横向移动到 Vercel 员工的 Google Workspace 账户，获得邮件（可进一步收割凭据）、Google Drive 内部文档、日历会议及关联资源可见性，以及潜在的其他 OAuth 连接服务访问权。 ### 阶段 3：内部系统访问 (T1078) 从被入侵 Workspace 账户，攻击者进入 Vercel 内部系统。Rauch 描述为“从同事被入侵的 Vercel Google Workspace 账户开始的一系列操作”。具体横向技术（SSO 联合、邮件/网盘收割凭据、或其他 OAuth 连接内部工具）未披露。 ### 阶段 4：环境变量枚举 (T1552.001) 攻击者以足够权限访问 Vercel 内部系统，枚举客户项目环境变量。Rauch 声明：Vercel 所有客户环境变量静态全加密，但平台允许将变量标记为“非敏感”。通过枚举这些非敏感变量，攻击者获得进一步访问。 ### 阶段 5：潜在下游利用 (T1078.004) 泄露的环境变量常包含下游服务凭据。2026 年 4 月 19 日，Andrey Zagoruiko 公开报告称，4 月 10 日收到 OpenAI 泄露密钥通知，其 API 密钥“仅存在于 Vercel”，表明至少一条凭据在 Vercel 披露前已被公开检测到。 该报告引入检测→披露异常时间窗，下一节详述。 ## 披露时间线异常 2026 年 4 月 19 日，Guillermo Rauch 的 X 推文回复中，一名 Vercel 客户 Andrey Zagoruiko 称，4 月 10 日收到 OpenAI 泄露密钥通知，其 API 密钥“从未在 Vercel 之外存在”。 OpenAI 泄露检测系统通常在密钥出现在公开位置（如 GitHub、粘贴站）时触发。从 Vercel 环境变量到 OpenAI 通知的路径并不直观。值得注意的是，该日期距 Vercel 披露有 9 天窗口。  图 3. 披露时间线异常，凭据疑似泄露到公开通知间隔 9 天 ### 9 天缺口意味着什么、不意味着什么 需注意，这只是单一公开报告，非取证发现。不应视为 Vercel 在 4 月 10 日已知晓入侵的证据。 然而，它证明至少一条凭据在客户被正式通知轮换前已被公开检测到。该区别对三类受众重要： - 监管方：GDPR 下，72 小时 breach 通知时钟自控制方“知晓”起算。Vercel 何时知晓现已公开。 - 审计方：SOC 2 与 ISO 27001 评估员将把检测→通知延迟作为持续监控证据的一部分。 - 客户：凭据可能已泄露的组织不能假设暴露窗口于 4 月 19 日结束，实际活跃利用可能更早开始。 从事件响应规划角度，该数据点也验证一个实务要点：来自 OpenAI、Anthropic、GitHub、AWS、Stripe 等厂商的“ unsolicited 泄露凭据通知”现已成为平台入侵的主要早期预警渠道，安全团队应将其视为高优先级信号，而非例行噪音。 ## AI 加速攻击手法（CEO 评估） 2026 年 4 月 19 日，Vercel CEO Guillermo Rauch 在 X 贴文中明确表示： “我们认为攻击团伙高度复杂，且我强烈怀疑其速度被 AI 显著加速。他们行动惊人地迅速，对 Vercel 了解深入。” 这是受影响平台 CEO 的公开记录声明，需审慎评估。基于“速度”归因本就主观，但仍值得关注，原因如下。 ### “AI 加速”在取证中可能长什么样 若 Rauch 评估属实而非事后合理化，底层取证信号可能包括： - 枚举速度超出手动节奏。仅脚本可部分解释，但 LLM 驱动侦察可并行化模式发现、端点探测、凭据格式识别，快于手动构造查询。 - 上下文查询构造。查询似乎了解 Vercel 专有术语（项目 slug、部署目标名、env var 命名规范），却无显著前期侦察。 - 对错误的自适应行为。LLM 辅助攻击者面对 API 错误和速率限制时比静态脚本更流畅，可即时变换策略。 - 提示工程社会工程工件。钓鱼诱饵、提交信息或支持票据读起来本地自然，而非翻译或模板化。 ### 为何其意义超越 Vercel 事件 无论 Rauch 评估是否经正式取证确认，“AI 增强对手作战”已非纯推测。微软 2026 年 4 月发布的 AI 启用设备代码钓鱼（Storm-2372 后继活动）记录到活跃威胁者使用生成式 AI 进行动态代码生成、超个性化诱饵及后端自动化编排。这意味着，针对人类节奏攻击者调校的遥测基线，可能对 AI 加速操作者产生漏报。 ### 检测工程启示 若 AI 加速攻击者压缩枚举与横向移动时间线，基于旧事件数据设定的驻留时间与速度阈值检测规则可能漏报。尤其应重新审视以下阈值：每会话唯一资源枚举速率、错误→成功恢复曲线、短时窗口内查询模式多样性。 ## 环境变量设计问题 本次入侵最严重后果并非初始访问向量——OAuth 被入侵已广为人知；而是 Vercel 的环境变量敏感级模型，导致客户密钥默认配置不安全。  图 4. 环境变量设计问题，对比默认不安全与默认安全的密钥管理模型 ### 入侵时 Vercel 环境变量的工作方式 Vercel 项目使用环境变量向无服务器函数与构建流程注入配置与密钥。这些变量有“敏感”标志控制访问限制，见表 2。 | 属性 | 默认（非敏感） | 敏感 | 默认状态 | |---|---|---|---| | 控制台可见 | 是 | 创建后掩码 | 默认开启（所有新变量）需手动启用 | | 可通过内部 API 访问 | 是 | 受限 | | | 静态加密 | 否（据 Rauch） | 是 | | 表 2. 环境变量属性对比