Vercel安全事件暴露前端托管脆弱性

Vercel于2026年4月19日确认,其系统在遭遇未授权访问后已启动应急响应,并通报执法机构。公司强调服务持续运行,初步评估仅少数客户受影响。攻击路径起源于已停用的Context.ai AI Office Suite所关联的AWS安全漏洞,攻击者可能获取了与一名Vercel员工Google Workspace账户相关的OAuth令牌。 通过该权限,攻击者接触到了Vercel系统内的部分非敏感环境变量。公司明确表示,尚未发现任何敏感环境变量被访问的证据,这对依赖平台部署密钥与API密钥的团队而言具有关键意义。

去中心化金融前端面临新型攻击威胁

此次事件揭示了一类智能合约审计难以覆盖的风险:前端托管层的供应链攻击。大量去中心化金融协议依赖Vercel提供用户界面,若前端被篡改,攻击者可在不修改链上代码的前提下,诱导用户授权恶意交易。 Solana生态中的去中心化交易所Orca已主动轮换部署凭证作为预防措施。该公司声明其链上协议与用户资金未受波及。目前尚无其他去中心化金融项目被公开确认为受影响方。 以太坊生态中锁定总价值超过1058亿美元,反映出通过前端接入的协议背后承载着巨额资本。截至2026年4月20日,尚未有证据显示任何前端被植入恶意代码,亦无用户资金损失被证实。当前状况更接近操作安全预警,而非实际漏洞利用,其性质与历史基础设施事件相似。

赎金传闻未获官方证实,数据真实性存疑

据非官方渠道消息,攻击者曾在论坛宣称可访问Vercel,并在通讯软件中提及两百万美元赎金谈判。相关声称包括580条员工记录泄露及内部仪表板截图,但均未获得独立验证。 Vercel与Context.ai均未发布任何关于赎金谈判或数据泄露的官方声明。现有信息显示,实际受影响范围限于非敏感环境变量,与攻击者宣称内容存在显著差距。 截至目前,官方仍未公布涉及加密货币或去中心化金融客户的受影响名单。各依赖Vercel前端的项目应持续关注后续通知、影响范围更新及任何前端篡改迹象。此事件再次推动行业思考多元化基础设施策略,以降低对单一托管服务的依赖风险。