كشف الرئيس التنفيذي لشركة Vercel، Guillermo Rauch، على منصة X عن تقدم التحقيق، مؤكّدًا أن منصة AI التابعة لجهة خارجية Context.ai التي يستخدمها موظفو Vercel قد تم اختراقها. حصل المهاجمون على بيانات اعتماد حسابات الموظفين عبر تكامل OAuth مع Google Workspace الخاص بالمنصة، ثم تمكنوا من الوصول إلى بعض بيئات Vercel الداخلية وإلى متغيرات بيئية لم يتم وسمها على أنها «حساسة».
سلسلة الهجوم: من اختراق OAuth لأداة AI إلى اختراق تدريجي لبيئة Vercel
وفقًا للتحقيق الذي أجرته Vercel، تتضمن مسار الهجوم ثلاث مراحل متصاعدة على نحو تدريجي. أولًا، تم اختراق تطبيق OAuth الخاص بـ Google Workspace في Context.ai ضمن هجوم سلسلة توريد أكبر نطاقًا حدث سابقًا، وقد يكون ذلك قد أثر في مئات المستخدمين من عدة مؤسسات. ثانيًا، من خلال اختراق Context.ai، سيطر المهاجمون على حسابات موظفي Vercel في Google Workspace، واستخدموا بيانات اعتمادها للوصول إلى الأنظمة الداخلية لدى Vercel. ثالثًا، استخدم المهاجمون أسلوب التعداد (التعداد/Enumerating) للحصول على مزيد من صلاحيات الوصول عبر متغيرات بيئية لم يتم وسمها على أنها «حساسة».
وأشار Rauch في الإعلان إلى أن سرعة تحركات المهاجمين «مذهلة»، وأن معرفتهم بأنظمة Vercel «عميقة جدًا»، مع تقييم أن من المرجح للغاية أنهم استفادوا من أدوات AI لرفع كفاءة الهجوم بشكل كبير.
الحدّ الأمني بين المتغيرات البيئية «الحساسة» و«غير الحساسة»
يُظهر هذا الحادث تفاصيل جوهرية حول آليات أمان متغيرات بيئة Vercel: يتم تخزين المتغيرات البيئية الموسومة على أنها «حساسة» بطريقة تمنع قراءتها، ولم يعثر التحقيق حاليًا على أي دليل على أن هذه القيم قد تم الوصول إليها. ما تم استغلاله من قبل المهاجمين هو متغيرات بيئية غير موسومة على أنها «حساسة»، ونجح المهاجمون عبر أسلوب التعداد في الحصول على صلاحيات وصول إضافية منها.
قامت Vercel بإضافة صفحة نظرة عامة على المتغيرات البيئية، وكذلك بواجهة لإدارة المتغيرات البيئية الحساسة بعد تحسينها، لمساعدة العملاء على تحديد قيم الإعدادات عالية الخطورة وحمايتها بشكل أوضح.
استجابة Vercel الطارئة وقائمة الإجراءات الموصى بها رسميًا
قامت Vercel بتعيين Google Mandiant وشركات أمن سيبراني أخرى، وأبلغت الجهات المختصة بإنفاذ القانون للتدخل. تم تأكيد أن Next.js وTurbopack وجميع المشاريع مفتوحة المصدر التابعة لـ Vercel آمنة عبر تحليل سلسلة التوريد، وتعمل خدمات المنصة حاليًا بشكل طبيعي.
إجراءات أمان العملاء الموصى بها رسميًا
راجع سجلات النشاط: افحص سجلات نشاط الحساب والبيئة وحدد الأنشطة المشبوهة
بدّل المتغيرات البيئية: أي متغيرات بيئية تحتوي على معلومات سرية (مفاتيح API، الرموز، بيانات اعتماد قواعد البيانات، مفاتيح التوقيع) ولكنها غير موسومة كـ حساسة، يجب اعتبارها على أنها ربما تم تسريبها وأولوية لتبديلها
فعّل ميزة المتغيرات البيئية الحساسة: تأكد من وسم جميع قيم الإعدادات السرية بشكل صحيح على أنها «حساسة»
راجع عمليات النشر الأخيرة: تحرَّ عن عمليات نشر غير معتادة واحذف الإصدارات المشبوهة
قم بإعداد حماية النشر: تأكد من تعيينها على الأقل إلى مستوى «قياسي»، وقم بتدوير رموز حماية النشر
الأسئلة الشائعة
ما هو Context.ai، وكيف أصبح مدخلًا للهجوم الحالي؟
Context.ai هي أداة AI ثالثة صغيرة تستخدم تكامل Google Workspace OAuth، ويستخدمها موظفو Vercel في أعمالهم اليومية. تُظهر نتائج التحقيق أن تطبيق OAuth لهذه الأداة قد تم اختراقه ضمن هجوم أكثر شمولًا على سلسلة التوريد، ما قد يكون قد أثر في مئات المستخدمين من عدة مؤسسات، وقد حصل المهاجمون على بيانات اعتماد حسابات موظفي Vercel خلال هذه العملية.
هل تتأثر المتغيرات البيئية الموسومة كـ «حساسة»؟
لا توجد حاليًا أدلة على أن المتغيرات البيئية الموسومة كـ «حساسة» قد تم الوصول إليها. تُخزن هذه المتغيرات باستخدام طريقة خاصة لمنع القراءة. يستخدم المهاجمون متغيرات بيئية غير موسومة على أنها «حساسة»، وقد نجح المهاجمون عبر أسلوب التعداد في الحصول على صلاحيات وصول إضافية منها.
كيف يمكن لعملاء Vercel التأكد مما إذا كانوا متأثرين؟
إذا لم تتلقَّ تواصلًا مباشرًا من Vercel، فإن Vercel تقول إنه لا توجد حاليًا أسباب للاعتقاد بأن بيانات اعتماد العملاء المعنيين أو معلوماتهم الشخصية قد تم تسريبها. توصي بمراجعة جميع العملاء بشكل استباقي لسجلات النشاط، وتدوير المتغيرات البيئية غير الموسومة كـ «حساسة»، وتمكين ميزة المتغيرات البيئية الحساسة بشكل صحيح. للحصول على دعم تقني، تواصل مع Vercel عبر vercel.com/help.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
هوسكينسون يناقش دور Midnight في نظام كاردانو البيئي على The Breakdown
تقدّم تشارلز هوسكينسون، مؤسس كاردانو والمؤسس المشارك لإيثريوم، كضيف في الحلقة 701 من بودكاست "The Breakdown" الذي يستضيفه ديفيد جوكشتاين، لبحث مشروع ميدنايت وما يواجهه المستخدمون من تحديات في مجال العملات المشفرة، ورؤيته لمستقبل البلوك تشين. خلال المقابلة، هوسكينسون
CryptoFrontierمنذ 2 س
شركة Berkshire Energy ترى فرصة نمو مدفوعة بزيادة الطلب على الطاقة الناتجة عن الذكاء الاصطناعي
بحسب ما ذكره Beating، في اجتماع مساهمي بيركشاير، أكد الرئيس التنفيذي آبل أن الطلب على الكهرباء الذي تقوده تقنيات الذكاء الاصطناعي يخلق فرص نمو جديدة لأعمال الشركة في مجال الطاقة، حيث تتولى نصف مرافقها للطاقة بالفعل تلبية متطلبات الطاقة المرتبطة بالذكاء الاصطناعي.
في ولاية آيوا، أصبحت مراكز البيانات الآن تُمثل
GateNewsمنذ 5 س
شهادة الأسبوع الأول في الدعوى بين ماسك وألتمن: اعترف بأن XAI تقوم بتقطير OpenAI، وتحذر من أن الذكاء الاصطناعي مثل المُنهي
أدلى ماسك بشهادة في أول أسبوع من الدعوى القضائية في المحكمة الاتحادية في أوكلاند، واتهم سام ألتمان وبروكمان باختلاق طريقة لخداع التمويل غير الربحي المبكر، محذراً من مخاطر “يوم القيامة” الذي قد تسببه أنظمة الذكاء الاصطناعي، واعترف أيضاً بأن جزءاً من xAI تم “تقطيره” من نماذج OpenAI. وذكر أنه استثمر 38 مليون دولار، وشهد على تحول OpenAI من كيان غير ربحي إلى شركة بتقييم بلغ 8 تريليونات دولار. وتُعد استثمارات Microsoft في عام 2022 نقطة تحول جرى اعتبارها انهياراً للثقة. وتجادل OpenAI بأن ماسك كان يحاول جذب الأشخاص وإبعادهما عن الشركة، وأن دفاعه يقوم بدوافع منافسة. وفي الأسبوع الثاني، شملت الشهادات لاحقاً كلّاً من راسل وبروكمان.
ChainNewsAbmediaمنذ 6 س
استحواذ مالي بالذكاء الاصطناعي مرتبط بترا مب على بلوك ستريت مقابل 43 مليون دولار
بحسب مجلة Fortune، استحوذت شركة AI Financial، وهي شركة للعملات المشفرة مرتبطة بعائلة ترامب وسابقًا كانت تُعرف باسم Alt5 Sigma، على Block Street، وهي شركة لبنية تحتية للتشفير، مقابل 43 مليون دولار الأسبوع الماضي. قال ماتيو مورغان، مستشار شركة AI Financial والرئيس التنفيذي لشركة Block Street، إن عملية الاستحواذ لم تكن
GateNewsمنذ 7 س
أسهم Riot تقفز 8% بعد توسيع اتفاقية AMD الخاصة بمراكز البيانات
ارتفعت أسهم شركة تعدين البيتكوين Riot بنسبة 8% بعد توسيع اتفاقها مع AMD الخاص بمراكز البيانات. ويشمل الشراكة الموسعة شروط تمويل محسّنة، ما يبرز التحول الاستراتيجي لدى Riot من تعدين البيتكوين إلى تشغيل مراكز بيانات للذكاء الاصطناعي. وتُشير هذه الخطوة إلى تزايد الثقة
GateNewsمنذ 10 س
حظر ولاية مينيسوتا أدوات الذكاء الاصطناعي لإنشاء صور حميمة غير رضائية، مع فرض غرامات قد تصل إلى $500K
وفقاً لـ Decrypt، أقرّت الهيئة التشريعية في ولاية مينيسوتا مشروع قانون في 2 مايو يحظر على مواقع الويب والتطبيقات تقديم أدوات ذكاء اصطناعي تُنشئ صوراً حميمة غير توافقية لأفراد يمكن التعرّف عليهم. ويمنع القانون المنصات من السماح للمستخدمين بالوصول إلى أدوات «الديب فيك» هذه أو استخدامها، ويحظر أيضاً
GateNewsمنذ 11 س
