Giullermo Rauch, CEO của Vercel, đã công bố tiến độ điều tra trên nền tảng X, xác nhận rằng nền tảng AI bên thứ ba Context.ai mà nhân viên Vercel sử dụng đã bị xâm nhập. Kẻ tấn công đã lấy thông tin xác thực tài khoản nhân viên thông qua tích hợp Google Workspace OAuth của nền tảng, sau đó truy cập thêm vào một phần môi trường nội bộ của Vercel và các biến môi trường chưa được gắn nhãn là “nhạy cảm”.
Chuỗi tấn công: từ việc xâm nhập OAuth của công cụ AI đến thâm nhập dần vào môi trường của Vercel
Theo cuộc điều tra của Vercel, đường tấn công được chia thành ba giai đoạn nâng cấp tuần tự. Đầu tiên, ứng dụng Google Workspace OAuth của Context.ai trước đó đã bị xâm nhập trong một cuộc tấn công chuỗi cung ứng quy mô lớn hơn, có thể ảnh hưởng đến hàng trăm người dùng của nhiều tổ chức. Thứ hai, kẻ tấn công xâm nhập thông qua Context.ai đã kiểm soát tài khoản Google Workspace của nhân viên Vercel và sử dụng thông tin xác thực để truy cập vào hệ thống nội bộ của Vercel. Thứ ba, thông qua phương thức liệt kê (enumeration), kẻ tấn công đã lấy thêm quyền truy cập bằng cách khai thác các biến môi trường chưa được gắn nhãn là “nhạy cảm”.
Rauch trong thông báo cho biết tốc độ hành động của kẻ tấn công “đáng kinh ngạc”, mức độ hiểu biết về hệ thống của Vercel “rất sâu”, và đánh giá rằng rất có thể chúng đã nhờ các công cụ AI để nâng đáng kể hiệu quả tấn công.
Ranh giới an toàn của biến môi trường “nhạy cảm” và “không nhạy cảm”
Sự kiện này đã làm lộ ra các chi tiết then chốt về cơ chế bảo mật biến môi trường của môi trường Vercel: các biến môi trường được gắn nhãn là “nhạy cảm” được lưu trữ theo cách ngăn việc đọc, hiện tại cuộc điều tra chưa phát hiện những giá trị này bị truy cập. Kẻ bị tấn công đã khai thác các biến môi trường chưa được gắn nhãn là “nhạy cảm”; thông qua phương thức liệt kê, kẻ tấn công đã thành công giành được thêm quyền truy cập.
Vercel đã bổ sung trang tổng quan về biến môi trường và giao diện quản lý biến môi trường nhạy cảm được cải tiến, giúp khách hàng nhận diện và bảo vệ rõ ràng hơn các giá trị cấu hình có rủi ro cao.
Ứng phó khẩn cấp của Vercel và danh sách hành động khuyến nghị chính thức
Vercel đã thuê Google Mandiant, các công ty an ninh mạng khác và thông báo cho cơ quan thực thi pháp luật để vào cuộc. Các dự án mã nguồn mở Next.js, Turbopack và Vercel đều đã được xác nhận là an toàn thông qua phân tích chuỗi cung ứng, hiện nền tảng vẫn đang vận hành bình thường.
Hành động an toàn cho khách hàng theo khuyến nghị chính thức
Kiểm tra nhật ký hoạt động: Rà soát nhật ký hoạt động của tài khoản và môi trường, xác định hoạt động đáng ngờ
Luân chuyển biến môi trường: Các biến môi trường chứa thông tin mật (API key, token, thông tin xác thực cơ sở dữ liệu, khóa ký) nhưng chưa được gắn nhãn là nhạy cảm, cần coi như đã bị lộ và ưu tiên luân chuyển
Bật tính năng biến môi trường nhạy cảm: Đảm bảo tất cả các giá trị cấu hình mật đều được gắn nhãn đúng là “nhạy cảm”
Rà soát triển khai gần đây: Điều tra các triển khai bất thường và xóa các phiên bản đáng ngờ
Thiết lập bảo vệ triển khai: Đảm bảo ít nhất được đặt ở mức “Tiêu chuẩn” và luân chuyển token bảo vệ triển khai
Câu hỏi thường gặp
Context.ai là gì, và nó trở thành điểm vào của cuộc tấn công này như thế nào?
Context.ai là một công cụ AI nhỏ của bên thứ ba sử dụng tích hợp Google Workspace OAuth, được nhân viên Vercel dùng cho công việc hằng ngày. Kết quả điều tra cho thấy ứng dụng OAuth của công cụ này trước đó đã bị xâm nhập trong một cuộc tấn công chuỗi cung ứng rộng hơn, có thể ảnh hưởng đến hàng trăm người dùng của nhiều tổ chức, và thông tin xác thực tài khoản của nhân viên Vercel đã bị kẻ tấn công lấy được trong quá trình đó.
Các biến môi trường mà Vercel gắn nhãn là “nhạy cảm” có bị ảnh hưởng không?
Hiện tại cuộc điều tra chưa phát hiện bằng chứng nào cho thấy các biến môi trường được gắn nhãn là “nhạy cảm” bị truy cập. Các biến này được lưu trữ theo một cách đặc biệt để ngăn việc đọc. Kẻ bị tấn công đã sử dụng các biến môi trường chưa được gắn nhãn là “nhạy cảm”; thông qua phương thức liệt kê, kẻ tấn công đã thành công giành được thêm quyền truy cập từ chúng.
Khách hàng của Vercel có thể xác nhận xem mình có bị ảnh hưởng hay không?
Nếu bạn chưa nhận được liên hệ trực tiếp từ Vercel, Vercel cho biết hiện không có lý do để tin rằng thông tin xác thực hoặc dữ liệu cá nhân của các khách hàng liên quan đã bị lộ. Vercel khuyến nghị tất cả khách hàng chủ động rà soát nhật ký hoạt động, luân chuyển các biến môi trường chưa được gắn nhãn là nhạy cảm và bật đúng tính năng biến môi trường nhạy cảm. Nếu cần hỗ trợ kỹ thuật, bạn có thể liên hệ Vercel qua vercel.com/help.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Hải quân chỉ ra rằng Chính phủ Hoa Kỳ vận hành một node Bitcoin mà không khai thác
Một đô đốc cấp cao đã cho biết rằng Chính phủ Hoa Kỳ đang tích cực vận hành một nút trên mạng Bitcoin trong khi cố ý tránh tham gia vào các hoạt động khai thác. Thông tin tiết lộ cho thấy rằng các cơ quan chức năng đang đảm nhận vai trò can dự hơn trong cơ sở hạ tầng blockchain để giám sát và
CryptoFrontier14phút trước
Doanh thu Q1 của Tesla tăng 16% lên 22,4B USD; Dự kiến ra mắt robot hình người vào giữa năm 2026
Tin tức cổng, ngày 24 tháng 4 — Tesla đã báo cáo doanh thu quý 1 đạt 22,4 tỷ USD vào ngày 23 tháng 4, tương đương mức tăng 16% so với cùng kỳ năm trước. Tổng số xe giao toàn cầu của công ty vượt 358.000 chiếc, trong khi sản lượng đạt hơn 408.000 chiếc.
Nhà máy Gigafactory Thượng Hải của Tesla đã giao 213.000 xe trong quý, tăng 23,5% so với cùng kỳ năm ngoái. Công ty cũng đã mở rộng mạng lưới sạc, bổ sung 2.200 trạm Supercharger trên toàn cầu và mở rộng phạm vi phủ sóng trên khắp các thủ phủ cấp tỉnh của Trung Quốc cùng hầu hết các thành phố cấp địa khu.
Tesla dự kiến sẽ ra mắt robot hình người thế hệ thứ ba của mình, Optimus, vào giữa năm 2026 và sẽ bắt đầu chuẩn bị một nhà máy robot quy mô lớn trong quý 2. CEO Elon Musk cho biết Optimus có thể tạo ra hơn UStrillion doanh thu trong dài hạn. Công ty dự kiến sẽ chi hơn USbillion vào năm 2026—nhiều hơn gấp đôi dự báo trước đó—để tài trợ cho robot hình người, xe tự hành và phát triển AI.
Khi áp lực thuế quan gia tăng, Tesla đang tận dụng cơ sở ở Thượng Hải như một trung tâm xuất khẩu toàn cầu để phục vụ các thị trường ngoài Mỹ và tránh tác động của thuế quan. Nhà máy Thượng Hải cũng sản xuất các sản phẩm lưu trữ năng lượng, góp phần hỗ trợ kế hoạch mở rộng của Tesla ra ngoài lĩnh vực sản xuất ô tô.
GateNews14phút trước
Lợi nhuận quý 1 của SK Hynix tăng gấp năm lần lên mức kỷ lục nhờ bùng nổ AI, thúc đẩy thưởng nhân viên lên tới 878K USD
Tin cổng Gate News, ngày 24 tháng 4 — SK Hynix báo cáo lợi nhuận hoạt động theo quý tăng gấp năm lần lên mức kỷ lục 37,61 nghìn tỷ won ($32,4 tỷ) vào ngày 23 tháng 4, nhờ nhu cầu tăng vọt từ trí tuệ nhân tạo và các trung tâm dữ liệu. Khoản lợi nhuận khổng lồ này đang thúc đẩy các khoản thưởng cho nhân viên ở mức chưa từng có, theo đánh giá của các nhà phân tích có thể lên tới $878.000 cho mỗi nhân viên vào năm 2027 nếu các dự báo lợi nhuận hiện tại vẫn được giữ vững,
GateNews55phút trước
Kiến trúc DeepSeek V4 được xác minh: trúng 3/4 dự đoán, vắng mặt mô-đun Engram
Tin cổng thông tin, ngày 24 tháng 4 — DeepSeek đã phát hành hôm nay thẻ mô hình V4, xác nhận các dự đoán kiến trúc trước đó được đưa ra thông qua phân tích thư viện kernel TileKernels được phát hành ngày hôm qua (April 23). Theo giám sát của Beating, ba thành phần cốt lõi đã được xác nhận: mHC
GateNews55phút trước
DeepSeek Ra Mắt Loạt Mô Hình Mã Nguồn Mở V4 Với 1,6T Tham Số Và Giấy Phép MIT
Tin cổng, ngày 24 tháng 4 — DeepSeek đã phát hành loạt mô hình mã nguồn mở V4 theo Giấy phép MIT, với trọng số hiện đã có trên Hugging Face và ModelScope. Loạt này bao gồm hai mô hình (MoE) dạng mixture-of-experts: V4-Pro với 1,6 nghìn tỷ tham số tổng và 49 tỷ tham số được kích hoạt mỗi to
GateNews1giờ trước
SoftBank Lên Kế Hoạch Nhà Máy Pin Trung Tâm Dữ Liệu AI Tại Osaka, Nhắm Mục Tiêu Sản Xuất Trong Năm Năm
Tin tức từ Gate News, ngày 24 tháng 4 — SoftBank Corp, đơn vị di động của Tập đoàn SoftBank Nhật Bản, dự kiến sẽ chuyển đổi một phần nhà máy tại Sakai, Osaka thành dây chuyền sản xuất pin quy mô lớn cho các trung tâm dữ liệu AI. CEO Junichi Miyakawa được kỳ vọng sẽ công bố dự án vào tháng 5 như một phần của kế hoạch 5 năm mới,
GateNews1giờ trước
