O CEO da Vercel, Guillermo Rauch, revelou publicamente, na plataforma X, o andamento da investigação, confirmando que a plataforma de IA de terceiros Context.ai, usada pelos funcionários da Vercel, foi comprometida. Os atacantes obtiveram as credenciais das contas dos funcionários por meio da integração OAuth do Google Workspace da plataforma e, em seguida, acessaram parte do ambiente interno da Vercel e variáveis de ambiente não marcadas como “sensíveis”.
Cadeia de ataque: da invasão via OAuth de ferramentas de IA à infiltração gradual do ambiente da Vercel
De acordo com a investigação da Vercel, o caminho do ataque foi dividido em três etapas graduais de elevação de privilégios. Primeiro, a aplicação do Google Workspace OAuth da Context.ai havia sido comprometida antes, em um ataque mais amplo à cadeia de suprimentos, o que pode ter afetado centenas de usuários de múltiplas organizações. Em seguida, os atacantes, por meio da invasão via Context.ai, controlaram as contas do Google Workspace dos funcionários da Vercel e as usaram para acessar os sistemas internos da Vercel com suas credenciais. Por fim, os atacantes, por meio de enumeração, obtiveram permissões de acesso adicionais usando variáveis de ambiente que não foram marcadas como “sensíveis”.
Rauch afirmou no comunicado que a velocidade das ações do atacante foi “impressionante”, e o conhecimento sobre os sistemas da Vercel foi “muito profundo”, avaliando que é extremamente provável que ele tenha usado ferramentas de IA para aumentar significativamente a eficiência do ataque.
Fronteira de segurança entre variáveis de ambiente “sensíveis” e “não sensíveis”
Este incidente revelou detalhes fundamentais sobre os mecanismos de segurança das variáveis de ambiente do ambiente da Vercel: as variáveis de ambiente marcadas como “sensíveis” são armazenadas de forma a impedir a leitura, e a investigação atual não encontrou evidências de acesso a esses valores. O que foi explorado pelos invasores foram variáveis de ambiente que não foram marcadas como “sensíveis”; por meio de enumeração, os atacantes conseguiram obter permissões de acesso adicionais a partir delas.
A Vercel adicionou uma página de visão geral de variáveis de ambiente e melhorou a interface de gerenciamento de variáveis de ambiente sensíveis, para ajudar os clientes a identificar e proteger com mais clareza valores de configuração de alto risco.
Resposta de emergência da Vercel e lista oficial de ações recomendadas
A Vercel contratou a Google Mandiant, outras empresas de cibersegurança e notificou as autoridades policiais para que intervenham. Next.js, Turbopack e os projetos de código aberto da Vercel foram confirmados como seguros por análise de cadeia de suprimentos, e o serviço da plataforma está operando normalmente.
Ações de segurança para clientes recomendadas oficialmente
Verifique os registros de atividade: revise os registros de atividade da conta e do ambiente e identifique atividades suspeitas
Gire (rotacione) as variáveis de ambiente: quaisquer variáveis de ambiente que contenham informações confidenciais (chaves de API, tokens, credenciais de banco de dados, chaves de assinatura) mas que não estejam marcadas como sensíveis devem ser tratadas como potencialmente vazadas e ter rotação priorizada
Ative o recurso de variáveis de ambiente sensíveis: garanta que todos os valores de configuração confidenciais estejam corretamente marcados como “sensíveis”
Revise as implantações recentes: investigue implantações anômalas e exclua versões suspeitas
Configure proteção para implantações: assegure que esteja definido como, pelo menos, nível “padrão” e faça rotação dos tokens de proteção de implantações
Perguntas frequentes
O que é o Context.ai e como ele se tornou o ponto de entrada do ataque?
O Context.ai é uma pequena ferramenta de IA de terceiros que usa integração com o Google Workspace OAuth, usada por funcionários da Vercel para o trabalho diário. A investigação mostra que a aplicação OAuth dessa ferramenta havia sido comprometida antes em um ataque mais amplo à cadeia de suprimentos, o que pode ter afetado centenas de usuários de múltiplas organizações, e as credenciais das contas dos funcionários da Vercel foram obtidas pelos atacantes nesse processo.
As variáveis de ambiente marcadas como “sensíveis” pela Vercel foram afetadas?
Até o momento, a investigação não encontrou evidências de que variáveis de ambiente marcadas como “sensíveis” tenham sido acessadas. Esse tipo de variável é armazenado de uma forma especial para impedir a leitura. O que foi explorado pelos invasores foram variáveis de ambiente não marcadas como “sensíveis”; por meio de enumeração, os atacantes conseguiram obter permissões de acesso adicionais a partir delas.
Como os clientes da Vercel podem confirmar se foram afetados?
Se não receberam contato direto da Vercel, a Vercel afirma que, atualmente, não há motivo para acreditar que as credenciais ou dados pessoais dos clientes relevantes tenham sido expostos. Recomenda-se que todos os clientes revisem proativamente os registros de atividades, rotacionem variáveis de ambiente não marcadas como sensíveis e habilitem corretamente o recurso de variáveis de ambiente sensíveis. Se precisar de suporte técnico, entre em contato com a Vercel via vercel.com/help.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
CEO da Google Cloud: Gemini vai alimentar o lançamento da Siri personalizada da Apple em 2026
Resumo: O Gemini vai alimentar uma Siri personalizada da Apple em 2026, construída com os Modelos de Fundação da Apple e a colaboração com o Gemini; a Apple testa uma Siri estilo chat no iOS 27/macOS 27, prevista para a WWDC 2026.
Resumo: O Gemini da Google Cloud está programado para alimentar uma Siri personalizada da Apple até 2026, combinando Gemini com os Modelos de Fundação da Apple sob uma colaboração de aproximadamente $1 bilhão. A Apple está testando uma Siri redesenhada e estilo chat no iOS 27/macOS 27, com uma interface do Dynamic Island e novos recursos, antes de um anúncio na WWDC 2026 em 8 de junho.
GateNews6m atrás
A parceria $60B billion SpaceX-Cursor fornece novas evidências para os argumentos de perdão de SBF
Resumo
A SpaceX anuncia uma parceria $60 bilhão com a Cursor, com uma opção de aquisição, moldando a proposta de perdão de SBF, já que a participação inicial da Alameda na Cursor valeria cerca de $3 bilhão hoje. A matéria pesa as alegações de insolvência de SBF, a campanha dos pais, as objeções dos credores e as poucas chances de perdão.
Resumo
A parceria SpaceX-Cursor impulsiona a proposta de perdão de SBF; a participação da Alameda $200k valeria cerca de $3B hoje (15,000x). SBF alega insolvência da FTX; os mercados mostram baixas chances de perdão; Trump dificilmente perdoará.
GateNews13m atrás
Ações da Chegg despencam 99% à medida que a IA perturba o mercado de tecnologia educacional
Resumo: A Chegg disparou com a demanda por educação online, depois as ferramentas de IA desestabilizaram seu modelo, desencadeando demissões em massa e uma queda para abaixo de $2, com mudanças mais amplas impulsionadas por IA atingindo também mineradoras de cripto e empresas de tecnologia financeira.
Resumo: Este artigo examina a ascensão da Chegg como queridinha da edtech na era da pandemia e seu subsequente declínio diante da rápida adoção de IA generativa, que oferece respostas rápidas e reduz o apelo da proposta de valor da Chegg. Ele documenta demissões em 2025 e a queda das ações em direção ao cancelamento de listagem, e enquadra a experiência da Chegg dentro de uma disrupção mais ampla impulsionada por IA que está remodelando tecnologia e cripto: mineradoras de Bitcoin fazem a transição para operações com IA, e estratégias nativas de IA redefinem a competitividade em tecnologia financeira e além.
CryptoFrontier23m atrás
OpenAI lança modelo de Filtro de Privacidade open-source para detecção e remoção de PII
Resumo: O Filtro de Privacidade da OpenAI é um modelo de código aberto, executável localmente, que detecta e remove dados pessoais (PII) no texto. Ele oferece suporte a contextos grandes, identifica muitas categorias de PII e é destinado a fluxos de trabalho que preservam a privacidade, como preparação de dados, indexação, registro (logging) e moderação.
O Filtro de Privacidade da OpenAI é um modelo de código aberto executado localmente (128k-token context) que detecta e remove PII no texto, cobrindo dados de contato, financeiros e de credenciais para fluxos de trabalho de privacidade.
GateNews1h atrás
A OpenAI Planeja Implantar 30GW de Capacidade de Computação até 2030
A OpenAI mira 30GW de capacidade de computação até 2030 para atender à crescente demanda por IA, com 8GW já concluídos de uma meta de 10GW para 2025. A expansão sinaliza uma estratégia para ampliar a infraestrutura para o desenvolvimento e a implantação de IA de próxima geração.
A OpenAI pretende atingir 30GW de capacidade de computação até 2030 para acomodar a crescente demanda por IA, tendo já concluído 8GW de uma meta de 10GW para 2025. A medida reflete uma expansão estratégica da infraestrutura para apoiar o desenvolvimento e a implantação de IA de próxima geração.
GateNews1h atrás
Agente de Descoberta de Vulnerabilidades por IA da 360 Encontra Quase 1.000 Exploits de Zero-Day, Competindo com a Mythos
O agente orientado por IA da 360 Digital Security afirma ter encontrado cerca de 1.000 novas vulnerabilidades, incluindo no Office e no OpenClaw; a IA agora é central para a descoberta e a preparação de cadeias de exploração, rivalizando com a Mythos.
Resumo: Um relatório citado pela Bloomberg observa que o Agente de Descoberta de Vulnerabilidades orientado por IA do 360 Digital Security Group identificou quase 1.000 vulnerabilidades previamente desconhecidas nos últimos meses, incluindo no Microsoft Office e no framework OpenClaw. A empresa afirma que a IA se tornou a base central da descoberta de vulnerabilidades e anunciou uma ferramenta de IA para acelerar a construção de cadeias de exploração. Benincasa descreve a 360 como uma concorrente da Mythos, da Anthropic, com base na análise de Natto Thoughts das comunicações da empresa em idioma chinês.
GateNews1h atrás
