Vercel：第三方 AI 工具被攻破致内部系统遭未授权访问，暂无敏感数据被篡改

ChainCatcher 消息，Vercel 公布安全事件分析，称其部分内部系统遭未授权访问，起因是一名员工使用的第三方 AI 工具 Context.ai 被攻破，攻击者借此接管其 Google Workspace 账户并访问部分环境配置数据。

初步影响为少量客户未标记为“敏感”的环境变量（如 API Key、Token 等）可能被泄露，已通知相关用户并建议立即轮换凭证。目前尚无证据显示被标记为“敏感”的数据或供应链（如 npm 包）遭到篡改。

Vercel 称攻击者具备较高技术水平，已联合 Mandiant 及多家安全机构展开调查，并已向执法部门报案。同时强调平台服务仍正常运行。同时建议用户启用多重认证、全面轮换潜在泄露的环境变量，并检查账户活动日志及部署记录，以防进一步风险。