كشف الرئيس التنفيذي لشركة Vercel، Guillermo Rauch، على منصة X عن تقدم التحقيق، مؤكّدًا أن منصة AI التابعة لجهة خارجية Context.ai التي يستخدمها موظفو Vercel قد تم اختراقها. حصل المهاجمون على بيانات اعتماد حسابات الموظفين عبر تكامل OAuth مع Google Workspace الخاص بالمنصة، ثم تمكنوا من الوصول إلى بعض بيئات Vercel الداخلية وإلى متغيرات بيئية لم يتم وسمها على أنها «حساسة».
سلسلة الهجوم: من اختراق OAuth لأداة AI إلى اختراق تدريجي لبيئة Vercel
وفقًا للتحقيق الذي أجرته Vercel، تتضمن مسار الهجوم ثلاث مراحل متصاعدة على نحو تدريجي. أولًا، تم اختراق تطبيق OAuth الخاص بـ Google Workspace في Context.ai ضمن هجوم سلسلة توريد أكبر نطاقًا حدث سابقًا، وقد يكون ذلك قد أثر في مئات المستخدمين من عدة مؤسسات. ثانيًا، من خلال اختراق Context.ai، سيطر المهاجمون على حسابات موظفي Vercel في Google Workspace، واستخدموا بيانات اعتمادها للوصول إلى الأنظمة الداخلية لدى Vercel. ثالثًا، استخدم المهاجمون أسلوب التعداد (التعداد/Enumerating) للحصول على مزيد من صلاحيات الوصول عبر متغيرات بيئية لم يتم وسمها على أنها «حساسة».
وأشار Rauch في الإعلان إلى أن سرعة تحركات المهاجمين «مذهلة»، وأن معرفتهم بأنظمة Vercel «عميقة جدًا»، مع تقييم أن من المرجح للغاية أنهم استفادوا من أدوات AI لرفع كفاءة الهجوم بشكل كبير.
الحدّ الأمني بين المتغيرات البيئية «الحساسة» و«غير الحساسة»
يُظهر هذا الحادث تفاصيل جوهرية حول آليات أمان متغيرات بيئة Vercel: يتم تخزين المتغيرات البيئية الموسومة على أنها «حساسة» بطريقة تمنع قراءتها، ولم يعثر التحقيق حاليًا على أي دليل على أن هذه القيم قد تم الوصول إليها. ما تم استغلاله من قبل المهاجمين هو متغيرات بيئية غير موسومة على أنها «حساسة»، ونجح المهاجمون عبر أسلوب التعداد في الحصول على صلاحيات وصول إضافية منها.
قامت Vercel بإضافة صفحة نظرة عامة على المتغيرات البيئية، وكذلك بواجهة لإدارة المتغيرات البيئية الحساسة بعد تحسينها، لمساعدة العملاء على تحديد قيم الإعدادات عالية الخطورة وحمايتها بشكل أوضح.
استجابة Vercel الطارئة وقائمة الإجراءات الموصى بها رسميًا
قامت Vercel بتعيين Google Mandiant وشركات أمن سيبراني أخرى، وأبلغت الجهات المختصة بإنفاذ القانون للتدخل. تم تأكيد أن Next.js وTurbopack وجميع المشاريع مفتوحة المصدر التابعة لـ Vercel آمنة عبر تحليل سلسلة التوريد، وتعمل خدمات المنصة حاليًا بشكل طبيعي.
إجراءات أمان العملاء الموصى بها رسميًا
راجع سجلات النشاط: افحص سجلات نشاط الحساب والبيئة وحدد الأنشطة المشبوهة
بدّل المتغيرات البيئية: أي متغيرات بيئية تحتوي على معلومات سرية (مفاتيح API، الرموز، بيانات اعتماد قواعد البيانات، مفاتيح التوقيع) ولكنها غير موسومة كـ حساسة، يجب اعتبارها على أنها ربما تم تسريبها وأولوية لتبديلها
فعّل ميزة المتغيرات البيئية الحساسة: تأكد من وسم جميع قيم الإعدادات السرية بشكل صحيح على أنها «حساسة»
راجع عمليات النشر الأخيرة: تحرَّ عن عمليات نشر غير معتادة واحذف الإصدارات المشبوهة
قم بإعداد حماية النشر: تأكد من تعيينها على الأقل إلى مستوى «قياسي»، وقم بتدوير رموز حماية النشر
الأسئلة الشائعة
ما هو Context.ai، وكيف أصبح مدخلًا للهجوم الحالي؟
Context.ai هي أداة AI ثالثة صغيرة تستخدم تكامل Google Workspace OAuth، ويستخدمها موظفو Vercel في أعمالهم اليومية. تُظهر نتائج التحقيق أن تطبيق OAuth لهذه الأداة قد تم اختراقه ضمن هجوم أكثر شمولًا على سلسلة التوريد، ما قد يكون قد أثر في مئات المستخدمين من عدة مؤسسات، وقد حصل المهاجمون على بيانات اعتماد حسابات موظفي Vercel خلال هذه العملية.
هل تتأثر المتغيرات البيئية الموسومة كـ «حساسة»؟
لا توجد حاليًا أدلة على أن المتغيرات البيئية الموسومة كـ «حساسة» قد تم الوصول إليها. تُخزن هذه المتغيرات باستخدام طريقة خاصة لمنع القراءة. يستخدم المهاجمون متغيرات بيئية غير موسومة على أنها «حساسة»، وقد نجح المهاجمون عبر أسلوب التعداد في الحصول على صلاحيات وصول إضافية منها.
كيف يمكن لعملاء Vercel التأكد مما إذا كانوا متأثرين؟
إذا لم تتلقَّ تواصلًا مباشرًا من Vercel، فإن Vercel تقول إنه لا توجد حاليًا أسباب للاعتقاد بأن بيانات اعتماد العملاء المعنيين أو معلوماتهم الشخصية قد تم تسريبها. توصي بمراجعة جميع العملاء بشكل استباقي لسجلات النشاط، وتدوير المتغيرات البيئية غير الموسومة كـ «حساسة»، وتمكين ميزة المتغيرات البيئية الحساسة بشكل صحيح. للحصول على دعم تقني، تواصل مع Vercel عبر vercel.com/help.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
软银计划在大阪建设 AI 数据中心电池工厂,目标五年内投产
Gate News 消息,4月24日——软银株式会社,日本软银集团旗下的移动业务部门,计划将其大阪堺市的部分工厂改造为用于 AI 数据中心的大型电池生产线。预计 CEO 宫川纯一(Junichi Miyakawa)将于 5 月公布该项目,作为一项新的五年计划的一部分。
GateNewsمنذ 2 د
杰夫·贝索斯的Project Prometheus以$10B 估值融资$38B
Gate News消息,4月24日——由亚马逊创始人杰夫·贝索斯和前谷歌高管维克·巴贾吉创立的AI实验室Project Prometheus已在$10 十亿美元融资轮次中完成融资,估值为$38 十亿美元。摩根大通和贝莱德是
GateNewsمنذ 32 د
الأسهم المرتبطة بالذكاء الاصطناعي تمثل الآن 45% من القيمة السوقية لـ S&P 500، وأسواق الائتمان تواجه ضغطًا
بوابة الأخبار، رسالة بتاريخ 24 أبريل — وفقًا لرسالة The Kobeissi Letter، أصبحت أسهم الشركات المرتبطة بالذكاء الاصطناعي الآن تمثل 45% من إجمالي القيمة السوقية للأسهم في مؤشر (U.S. Benchmark Equity Index) الخاص بمؤشر S&P 500، مسجلة مستوىً تاريخيًا مرتفعًا، مع زيادة قدرها 20 نقطة مئوية منذ إطلاق ChatGPT في نوفمبر 2022.
في الوقت نفسه، ارتفعت ديون الاستثمار ذات الدرجة الاستثمارية المرتبطة بالذكاء الاصطناعي إلى 15.4% من سوق الائتمان الأمريكي، لتصبح أكبر قطاع. وهذا يمثل زيادة قدرها 3.5 نقاط مئوية عن عام 2020، حيث تضاعف إجمالي الدين القائم المقابل تقريبًا إلى 1.4 تريليون دولار، وهو مستوى قياسي على الإطلاق.
GateNewsمنذ 32 د
أطلقت OpenAI GPT-5.5، المصممة لمهام الوكلاء وسير العمل المعقدة
رسالة أخبار جيت، 24 أبريل — قامت OpenAI رسميًا بإصدار GPT-5.5، وهو نموذج ذكاء اصطناعي من الجيل التالي مصمم للتعامل مع الأهداف المعقدة، وتكامل الأدوات، والتحقق الذاتي، وإكمال المهام متعددة الخطوات. يتفوق النموذج في كتابة التعليمات البرمجية وتصحيح الأخطاء، والبحث عبر الإنترنت، وتحليل البيانات، وإنشاء المستندات
GateNewsمنذ 47 د
تجاوزت نتائج أعمال إنتل الفعلية توقعات السوق بشكل كبير، إذ أدى الطلب على الذكاء الاصطناعي إلى انتعاش وحدة المعالجة المركزية (CPU)، وبعد تولّي تشين لي وو المنصب، ارتفع سهم INTC ثلاث مرات
ارتفعت إيرادات إنتل في الربع الواحد إلى 13.6 مليار دولار، وEPS 0.29؛ وفي الربع الثاني، بلغ متوسط التوقعات 14.3 مليار دولار، متجاوزًا التوقعات بكثير، مع هامش إجمالي 41%. دفعت احتياجات مراكز بيانات الذكاء الاصطناعي تعافي وحدات المعالجة المركزية، حيث حظيت وحدات الخوادم مثل Xeon بإعجاب متزايد. يقود تشن لي وو التحول، إذ بلغت إيرادات IFS في الربع الأول 5.4 مليارات دولار، ونمت بنسبة 16%، ويتابع العملاء الخارجيون مثل تسلا اهتمامًا باستخدام Terafab لتقنيات إنتل. بعد إغلاق السوق، ارتفع سعر السهم بنحو 20%، مسجلًا مستوى تاريخيًا مرتفعًا جديدًا، وقد حقق مكاسب تقارب 3 مرات منذ العام الماضي.
ChainNewsAbmediaمنذ 59 د
Cognition AI تجمع تمويلاً بتقييم $25B في مفاوضات مرحلة مبكرة
جيت نيوز رسالة، 24 أبريل — شركة Cognition AI، وهي شركة ناشئة في مجال برمجة الذكاء الاصطناعي، تجري مفاوضات في مرحلة مبكرة لجولة تمويل جديدة من شأنها أن تضاعف أكثر من قيمتها إلى $25 مليار، وفقًا لمصادر مطلعة على الأمر. تهدف الشركة إلى جمع مئات الملايين من الدولارات أو أكثر، حيث تستمر الطلبات على تكنولوجيا الذكاء الاصطناعي التوليدي في تطوير البرمجيات في النمو.
GateNewsمنذ 2 س
