Thông báo Gate News, ngày 23 tháng 4 — Vercel cho biết vào ngày 19 tháng 4 rằng sự cố bảo mật của hãng, ban đầu được mô tả là ảnh hưởng đến “một nhóm khách hàng giới hạn,” đã mở rộng sang một cộng đồng nhà phát triển rộng lớn hơn nhiều, đặc biệt là những người đang xây dựng các quy trình làm việc tác nhân AI. Cuộc tấn công có thể ảnh hưởng đến hàng trăm người dùng trên nhiều tổ chức, không chỉ giới hạn ở Vercel mà còn có khả năng tác động đến toàn ngành công nghệ.
Vụ xâm nhập bắt nguồn khi một nhân viên của Context.ai bị lây nhiễm mã độc Lumma Stealer sau khi tải xuống một tập lệnh Roblox Auto-farm và các công cụ khai thác game. Mã độc đã xâm phạm thông tin đăng nhập Google Workspace của nhân viên và các khóa truy cập tới các nền tảng bao gồm Supabase, Datadog và Authkit. Sau đó, kẻ tấn công sử dụng một token OAuth bị đánh cắp để truy cập tài khoản Google Workspace của Vercel, tài khoản này được tạo bằng tài khoản doanh nghiệp của Vercel với quyền “cho phép tất cả”. Khi đã vào được, kẻ tấn công đã giải mã các biến môi trường không nhạy cảm, dù dữ liệu nhạy cảm vẫn được bảo vệ nhờ các biện pháp lưu trữ của Vercel.
Các nhà phát triển AI phải đối mặt với rủi ro cao hơn vì họ thường lưu trữ các thông tin xác thực quan trọng—chẳng hạn như khóa API OpenAI hoặc Anthropic, chuỗi kết nối cơ sở dữ liệu vector, bí mật webhook và token công cụ bên thứ ba—trong các biến môi trường mà không tự tay đánh dấu chúng là dữ liệu nhạy cảm. Những thông tin xác thực này không được hệ thống tự động gắn cờ, khiến chúng dễ bị lộ ra.
Để ứng phó, Vercel đã cập nhật nền tảng của mình để mọi biến môi trường mới được tạo đều được đánh dấu là nhạy cảm theo mặc định. Nhóm bảo mật của công ty đã chia sẻ mã định danh duy nhất của ứng dụng OAuth bị xâm phạm, đồng thời kêu gọi các quản trị viên Google Workspace rà soát nhật ký truy cập. Context.ai, với sự hỗ trợ của CTO Nudge Security Jaime Blasco, đã phát hiện thêm việc cấp quyền OAuth với quyền truy cập Google Drive và ngay lập tức thông báo cho các khách hàng bị ảnh hưởng kèm các bước khắc phục.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
AI Agent Manfred thành lập công ty, nhận ví tiền mã hóa trước khi ra mắt giao dịch vào tháng 5
AI agent Manfred đã thành lập công ty riêng và nhận được một crypto wallet cùng các giấy tờ kinh doanh, dù nó sẽ không bắt đầu giao dịch tiền mã hóa cho đến cuối tháng 5. Hiện agent đã sẵn sàng để thuê nhân sự, thực hiện thanh toán và tiến hành hoạt động kinh doanh
GateNews5giờ trước
MoonPay ra mắt thẻ MoonAgents, Mastercard ảo dành cho tác nhân AI và người dùng vào thứ Sáu
Theo The Block, MoonPay đã ra mắt MoonAgents Card, một thẻ ghi nợ Mastercard ảo dành cho các tác nhân AI và người dùng, vào thứ Sáu. Thẻ này chuyển đổi stablecoin sang tiền pháp định ngay tại điểm thanh toán và có thể được sử dụng với bất kỳ nhà bán lẻ trực tuyến nào trên toàn cầu chấp nhận Mastercard. Được phát hành thông qua Monavate, một đơn vị thanh toán được quản lý
GateNews9giờ trước
MoonPay ra mắt thẻ MoonAgents trên mạng Mastercard vào thứ Sáu
Theo The Block, MoonPay đã ra mắt MoonAgents Card vào thứ Sáu—một thẻ ghi nợ Mastercard ảo cho phép các AI agent và người dùng chi tiêu stablecoin trực tiếp từ các ví onchain. Thẻ được phát hành thông qua Monavate, một nền tảng thanh toán toàn cầu được quản lý và là thành viên chính của Mastercard, trong
GateNews11giờ trước
137 Ventures đóng $700M trong quỹ mới, AUM đạt 15 tỷ USD
Theo ChainCatcher, 137 Ventures, nhà đầu tư sớm vào SpaceX, mới đây đã hoàn tất việc huy động vốn cho hai quỹ mới với tổng quy mô hơn 700 triệu USD, qua đó nâng tài sản được quản lý lên hơn 15 tỷ USD. Nguồn vốn mới sẽ hỗ trợ đầu tư vào các tác nhân AI, robot và hệ thống đẩy tên lửa không gian
GateNews12giờ trước
Reddit Tăng 16% nhờ Triển vọng Q2 Mạnh Mẽ; Apple Gặp Thiếu Hụt Mac khi Nhu cầu AI Vượt Quá Nguồn Cung
Cổ phiếu của Reddit đã tăng 16% trước giờ mở cửa thị trường vào thứ Sáu sau khi công ty đưa ra triển vọng doanh thu cho quý tới cao hơn dự kiến. Lượng khách truy cập hoạt động hằng ngày tăng 17% lên 126,8 triệu, trong khi doanh thu trung bình trên mỗi người dùng trên toàn cầu nhảy 44%, nhờ vào các tính năng được hỗ trợ bởi AI-powered
GateNews12giờ trước
Visa ra mắt chương trình Agentic Ready tại Hồng Kông vào ngày 1/5, cho phép thanh toán bằng AI Agent
Theo truyền thông Hồng Kông Ming Pao, Visa đã ra mắt chương trình Visa Agentic Ready tại Hồng Kông vào ngày 1/5, cho phép thanh toán bằng tác nhân AI. Chương trình tận dụng cơ chế mã hóa token, xác minh danh tính, quản lý rủi ro và cấp quyền. Các đơn vị tham gia ban đầu bao gồm
GateNews15giờ trước
