ผู้ใช้งานเพิ่มขึ้นในรัศมีผลกระทบของช่องโหว่ Vercel
เหตุการณ์ด้านความปลอดภัยของ Vercel ในเดือนเมษายน 2026 ยังคงขยายวงกว้างเกินกว่าที่อ้างไว้ในตอนแรก เหตุการณ์ที่ว่ากันว่าเกี่ยวข้องกับสิ่งที่ Vercel เรียกว่า "กลุ่มลูกค้าจำนวนจำกัด" ได้ขยายตัวไปสู่ชุมชนนักพัฒนาในวงกว้างมากขึ้น โดยเฉพาะผู้ที่สร้างเวิร์กโฟลว์ AI agent
ในรายงาน bulletin ด้านความปลอดภัยเมื่อวันที่ 19 เมษายน ซึ่งได้รับการอัปเดตอย่างต่อเนื่องตามการสืบสวนที่ดำเนินอยู่ Vercel ระบุว่านักพัฒนาที่พึ่งพา API key ของบุคคลที่สาม ข้อมูลรับรองของผู้ให้บริการ LLM และการเรียกใช้เครื่องมือต่าง ๆ มีความเสี่ยงต่อการถูกโจมตีมากกว่า
การละเมิดเกิดขึ้นได้อย่างไร?
ต่างจากที่ผู้ใช้คาดเดา Vercel ไม่ใช่จุดเริ่มต้นของการโจมตี แต่ถูกโจมตีเมื่อพนักงานของ Context.ai ที่มีสิทธิ์เข้าถึงข้อมูลที่ละเอียดอ่อนถูกเจาะระบบ ผ่านมัลแวร์ Lumma Stealer
การละเมิดเกิดขึ้นเมื่อพนักงานดาวน์โหลดสคริปต์ Roblox Auto-farm และเครื่องมือ exploit เกม ซึ่งเป็นช่องทางหลักในการแพร่กระจายมัลแวร์ การละเมิดนี้นำไปสู่การขโมยข้อมูลผู้ใช้ รวมถึงข้อมูลการเข้าสู่ระบบ Google Workspace และ access key อื่น ๆ สำหรับแพลตฟอร์มอย่าง Supabase, Datadog และ Authkit
จากนั้นผู้โจมตีใช้ OAuth token ที่ขโมยมาเพื่อเข้าถึงบัญชี Google Workspace ของ Vercel แม้ว่า Vercel จะไม่ใช่ผู้ใช้ Context.ai แต่พนักงานคนหนึ่งของ Vercel มีบัญชีบนแพลตฟอร์มดังกล่าว ซึ่งสร้างขึ้นโดยใช้บัญชีองค์กรของ Vercel และที่แย่ที่สุดคือได้อนุมัติสิทธิ์ "allow all"
ยิ่งไปกว่านั้น Vercel ได้เปิดใช้งานสิทธิ์กว้างขวางเหล่านี้ภายในสภาพแวดล้อม Google Workspace ของตน ทำให้การเข้าถึงเป็นไปได้ง่ายขึ้น
เมื่อเข้าไปได้แล้ว ผู้โจมตีได้ดำเนินการถอดรหัส environment variable ที่ไม่ละเอียดอ่อนซึ่งจัดเก็บในระบบ อย่างไรก็ตาม พวกเขาไม่สามารถ เข้าถึงข้อมูลที่ละเอียดอ่อน ได้ เนื่องจาก Vercel จัดเก็บ environment variable เหล่านั้นในลักษณะที่ป้องกันไม่ให้เข้าถึงได้
สิ่งนี้หมายความว่าอย่างไรสำหรับนักพัฒนา AI agent?
สำหรับนักพัฒนา ความกังวลอยู่ที่ขอบเขตผลกระทบมากกว่าสิ่งที่บันทึกว่าถูกขโมย นักพัฒนาส่วนใหญ่กังวลว่าเวิร์กโฟลว์ของตนที่เชื่อมโยงกันด้วยข้อมูลรับรองในรูปแบบ environment variable ธรรมดาอาจถูกเปิดเผยจากการละเมิดนี้ เนื่องจากนักพัฒนาส่วนใหญ่บน Vercel มักจัดเก็บ access key สำคัญไว้ในสภาพแวดล้อมการ deploy ของตน
นอกจากนี้ โปรเจกต์ที่ขับเคลื่อนด้วย AI อาจมี API key ของ OpenAI หรือ Anthropic, connection string ของฐานข้อมูลเวกเตอร์, webhook secret และ token ของเครื่องมือบุคคลที่สามพร้อมกัน ซึ่งระบบไม่ได้ระบุว่าเป็นข้อมูลละเอียดอ่อน เนื่องจากต้องให้นักพัฒนาดำเนินการเองด้วยตนเอง
เพื่อรับมือกับเหตุการณ์นี้ Vercel ได้อัปเดตผลิตภัณฑ์ของตนให้ environment variable ที่สร้างใหม่ทั้งหมดถูกทำเครื่องหมายว่าละเอียดอ่อนโดยค่าเริ่มต้น และสามารถเปลี่ยนเป็นไม่ละเอียดอ่อนได้โดยนักพัฒนาเท่านั้น แม้ว่าการพัฒนานี้จะเป็นก้าวที่ถูกต้อง แต่ก็ไม่สามารถชดเชย variable ที่ถูกขโมย ก่อนที่การเปลี่ยนแปลงจะเกิดขึ้นได้
การโจมตีแพร่กระจายไปไกลแค่ไหน?
ตาม Vercel การโจมตีอาจส่งผลกระทบต่อผู้ใช้หลายร้อยรายในหลายองค์กร ไม่ใช่แค่ระบบของตัวเองเท่านั้น แต่รวมถึงทั้งอุตสาหกรรมเทคโนโลยี เนื่องจาก OAuth app ที่ใช้ในการโจมตีไม่ได้จำกัดอยู่แค่ Vercel เพียงรายเดียว
เพื่อลดผลกระทบจากการโจมตี ทีมความปลอดภัยของ Vercel ได้แชร์ตัวระบุเฉพาะของ OAuth app ที่ถูกโจมตี โดยเรียกร้องให้ผู้ดูแลระบบ Google Workspace และผู้ถือบัญชี Google ตรวจสอบว่ามีการเข้าถึงระบบของตนหรือไม่
นอกจากนี้ Context.ai ด้วยความช่วยเหลือของ Jaime Blasco CTO ของ Nudge Security ยังตรวจพบการให้สิทธิ์ OAuth อีกรายการหนึ่งที่มีการเข้าถึง Google Drive ด้วย เพื่อป้องกันผลกระทบเพิ่มเติม Context.ai ได้แจ้งเตือนลูกค้าที่ได้รับผลกระทบทั้งหมดทันทีและให้ขั้นตอนที่จำเป็นเพื่อป้องกันการละเมิดเพิ่มเติม
นักคิดด้าน crypto ที่ฉลาดที่สุดอ่านจดหมายข่าวของเราอยู่แล้ว อยากร่วมด้วยไหม? เข้าร่วมกับพวกเขาเลย
คุณอาจชอบเช่นกัน
ความตึงเครียดยังคงดำเนินต่อ: พลวัตตลาดและการเมืองที่ผันผวน
ทำไมสภาผู้แทนราษฎรจึงระงับการเปิดเผยบันทึกภาษีของรองประธานาธิบดีซาร่า ดูเตอร์เต
