Um funcionário da Vercel adotou uma ferramenta de IA. Um funcionário daquele fornecedor de IA foi atingido por um infostealer. Essa combinação criou um caminho direto para os ambientes de produção da Vercel por meio de uma concessão OAuth que ninguém havia revisado.
Vercel, a plataforma em nuvem por trás do Next.js e seus milhões de downloads semanais de npm, confirmado no domingo que os invasores obtiveram acesso não autorizado aos sistemas internos. Mandiant foi trazido. As autoridades foram notificadas. As investigações continuam ativas. Uma atualização na segunda-feira confirmou que Vercel colaborou com GitHub, Microsoft, npm e Socket para verificar se nenhum pacote Vercel npm foi comprometido. A Vercel também anunciou que agora está padronizando a criação de variáveis de ambiente como “sensível”. Next.js, Turbopack, AI SDK e todos os pacotes npm publicados pela Vercel permanecem intactos após uma auditoria coordenada com GitHub, Microsoft, npm e Socket.
Context.ai foi o ponto de entrada. Análise da OX Security descobriu que um funcionário da Vercel instalou a extensão do navegador Context.ai e fez login usando uma conta corporativa do Google Workspace, concedendo amplas permissões OAuth. Quando o Context.ai foi violado, o invasor herdou o acesso do funcionário ao espaço de trabalho, foi direcionado para ambientes Vercel e aumentou os privilégios examinando variáveis de ambiente não marcadas como “confidenciais”. O boletim da Vercel afirma que as variáveis marcadas como sensíveis são armazenadas de forma a impedir sua leitura. Variáveis sem essa designação eram acessíveis em texto simples por meio do painel e da API, e o invasor as usava como caminho de escalonamento.
CEO Guillermo Rauch descreveu o invasor como “altamente sofisticado e, suspeito fortemente, significativamente acelerado pela IA”. Jaime Blasco, CTO da Nudge Security, surgiu de forma independente uma segunda concessão OAuth vinculada à extensão do Chrome da Context.ai, combinando o ID do cliente do IOC publicado pela Vercel com a conta do Google da Context.ai antes da declaração pública de Rauch. O Hacker News informou que o Google removeu a extensão Context.ai do Chrome da Chrome Web Store em 27 de março. De acordo com The Hacker News e Nudge Security, essa extensão incorporou uma segunda concessão OAuth, permitindo acesso de leitura aos arquivos do Google Drive dos usuários.
Paciente zero. Um cheat Roblox e uma infecção por Lumma Stealer
Hudson Rock publicou evidências forenses na segunda-feira, relatando que a origem da violação remonta a uma infecção por Lumma Stealer em fevereiro de 2026 na máquina de um funcionário da Context.ai. De acordo com Hudson Rock, o histórico do navegador mostrava o funcionário baixando scripts de farm automático Roblox e executores de exploração de jogos. As credenciais coletadas incluíram logins do Google Workspace, chaves Supabase, tokens Datadog, credenciais Authkit e a conta support@context.ai. Hudson Rock identificou o usuário infectado como um membro principal do “context-inc”, locatário da Context.ai na plataforma Vercel, com acesso administrativo aos painéis de variáveis do ambiente de produção.
Contexto.ai publicou seu próprio boletim no domingo (atualizado na segunda-feira), revelando que a violação afeta seu produto obsoleto de consumo AI Office Suite, não sua oferta empresarial Bedrock (produto de infraestrutura de agente da Context.ai, não relacionado ao AWS Bedrock). A Context.ai afirma que detectou acesso não autorizado ao seu ambiente AWS em março, contratou a CrowdStrike para investigar e desligou o ambiente. Seu boletim atualizado revelou então que o escopo era mais amplo do que inicialmente entendido: o invasor também comprometeu tokens OAuth para usuários consumidores, e um desses tokens abriu a porta para o Google Workspace da Vercel.
O tempo de permanência é o detalhe que deve preocupar os diretores de segurança. Quase um mês separou a detecção de março do Context.ai da divulgação do Vercel no domingo. Uma análise separada da Trend Micro faz referência a uma intrusão que começa como já em junho de 2024 — uma conclusão que, se confirmada, estenderia o tempo de permanência para cerca de 22 meses. VentureBeat não conseguiu conciliar de forma independente essa linha do tempo com a data de fevereiro de 2026 de Hudson Rock; A Trend Micro não respondeu a um pedido de comentário antes da publicação.
Onde a detecção fica cega
Os diretores de segurança podem usar esta tabela para comparar sua própria pilha de detecção com a cadeia de eliminação de quatro saltos que esta violação explorou.
|
Matar Chain Hop |
O que aconteceu |
Quem deve detectar |
Cobertura Típica |
Brecha |
|
1. Infostealer no dispositivo do funcionário |
Funcionário da Context.ai baixou scripts de truques do Roblox; Lumma Stealer coletou credenciais do Workspace, chaves Supabase/Datadog/Authkit. |
EDR no terminal; monitoramento de exposição de credenciais. |
Baixo. Dispositivo provavelmente submonitorado. Nenhum monitoramento de log de ladrão na maioria das organizações. |
A maioria das empresas não assina feeds de inteligência de infostealer nem correlaciona registros de ladrões com domínios de e-mail de funcionários. |
|
2. Compromisso da AWS em Context.ai |
O invasor usou credenciais coletadas para acessar o AWS da Context.ai. Detectado em março. |
Segurança na nuvem Context.ai; AWS CloudTrail. |
Parcialmente detectado. Context.ai interrompeu o acesso à AWS, mas perdeu a exfiltração do token OAuth. |
A investigação inicial não identificou exfiltração de token OAuth. O escopo foi subestimado até a divulgação da Vercel. |
|
3. Roubo de token OAuth no Vercel Workspace |
Token OAuth comprometido usado para acessar o Google Workspace de um funcionário da Vercel. O funcionário concedeu permissões “Permitir todos” por meio da extensão do Chrome. |
Registros de auditoria do Google Workspace; Monitoramento de aplicativos OAuth; CASB. |
Muito baixo. A maioria das organizações não monitora padrões de uso de token OAuth de terceiros. |
Nenhum fluxo de trabalho de aprovação interceptou a concessão. Nenhuma detecção de anomalia no uso do token OAuth de terceiros comprometidos. Este é o salto que ninguém viu. |
|
4. Movimento lateral na produção Vercel |
O invasor enumerou variáveis ambientais não confidenciais (acessíveis via painel/API) e coletou credenciais do cliente. |
Logs de auditoria da plataforma Vercel; análise comportamental. |
Moderado. Vercel detectou a intrusão depois que o invasor acessou as credenciais do cliente. |
A detecção ocorreu após a exfiltração, não antes. O acesso Env var por uma conta comprometida do Workspace não acionou alertas em tempo real. |
O que está confirmado versus o que é reivindicado
O boletim da Vercel confirma acesso não autorizado a sistemas internos, um subconjunto limitado de clientes afetados e dois IOCs vinculados aos aplicativos Google Workspace OAuth da Context.ai. Rauch confirmou que os projetos de código aberto Next.js, Turbopack e Vercel não foram afetados.
Separadamente, um ator de ameaça usando o nome ShinyHunters postado em BreachForums alegando possuir o banco de dados interno da Vercel, contas de funcionários e tokens GitHub e NPM, com um preço pedido de US$ 2 milhões. Austin Larsen, principal analista de ameaças do Google Threat Intelligence, avaliou o reclamante como “provavelmente um impostor”. Atores anteriormente ligados ao ShinyHunters negaram envolvimento. Nenhuma dessas afirmações foi verificada de forma independente.
Seis falhas de governança expostas pela violação da Vercel
1. Os escopos OAuth da ferramenta de IA não são auditados. O próprio boletim da Context.ai afirma que um funcionário da Vercel concedeu permissões “Permitir todos” usando uma conta corporativa. A maioria das equipes de segurança não tem inventário de quais ferramentas de IA seus funcionários concederam acesso ao OAuth.
Elia Zaitsev, CTO da CrowdStrike, disse sem rodeios no RSAC 2026: “Não dê a um agente acesso a tudo só porque você é preguiçoso. Dê-lhe acesso apenas ao que ele precisa para realizar o trabalho.” Jeff Pollard, vice-presidente e analista principal da Forrester, disse ao Cybersecurity Dive que o ataque é um lembrete sobre preocupações com gerenciamento de riscos de terceiros e permissões de ferramentas de IA.
2. A classificação de variáveis de ambiente está realizando um verdadeiro trabalho de segurança. Vercel distingue entre variáveis marcadas como “sensíveis” (armazenadas de forma que impede a leitura) e aquelas sem essa designação (acessíveis em texto simples através do dashboard e API). Os invasores usaram as variáveis acessíveis como caminho de escalonamento. Uma alternância de conveniência do desenvolvedor determinou o raio da explosão. Desde então, Vercel mudou seu padrão: novas variáveis de ambiente agora são padronizadas como confidenciais.
“Os controles modernos são implantados, mas se os tokens ou chaves legados não forem retirados, o sistema os favorece silenciosamente”, disse Merritt Baer, CSO da Enkrypt AI e ex-vice-CISO da AWS, à VentureBeat.
3. As cadeias de escalonamento de infostealer para SaaS e para cadeia de fornecimento não possuem cobertura de detecção. Os relatórios de Hudson Rock revelam uma cadeia de morte que ultrapassou quatro fronteiras organizacionais. Nenhuma camada de detecção cobre essa cadeia. O boletim atualizado da Context.ai reconheceu que o escopo se estendia além do que foi inicialmente identificado durante a investigação liderada pela CrowdStrike.
4. O tempo de espera entre a detecção do fornecedor e a notificação do cliente excede os prazos do invasor. Context.ai detectou o comprometimento da AWS em março. Vercel divulgou no domingo. Todo CISO deve perguntar aos seus fornecedores: qual é a sua janela de notificação contratual após detectar acesso não autorizado que pode afetar os clientes downstream?
5. Ferramentas de IA de terceiros são a nova TI paralela. O boletim da Vercel descreve Context.ai como “uma pequena ferramenta de IA de terceiros”. Análise da Grip Security de março de 2026 de 23.000 ambientes SaaS encontraram um aumento de 490% ano após ano nos ataques relacionados à IA. A Vercel é a mais recente empresa a aprender isso da maneira mais difícil.
6. Atacantes acelerados por IA comprimem os prazos de resposta. A avaliação de Rauch sobre a aceleração da IA vem do que sua equipe de RI observou. Relatório de ameaças globais de 2026 da CrowdStrike coloca a linha de base em um tempo médio de interrupção do crime eletrônico de 29 minutos, 65% mais rápido do que 2024.
Plano de ação do diretor de segurança
|
Superfície de Ataque |
O que falhou |
Ação recomendada |
Proprietário |
|
Governança OAuth |
Context.ai possuía amplas permissões de espaço de trabalho “Permitir todos”. Nenhum fluxo de trabalho de aprovação foi interceptado. |
Faça um inventário de todas as ferramentas de IA concedidas pelo OAuth em toda a organização. Revogar escopos que excedam o privilégio mínimo. Verifique os dois IOCs Vercel agora. |
Identidade/IAM |
|
Classificação de env var |
Variáveis não marcadas como “sensíveis” permaneceram acessíveis. A acessibilidade tornou-se o caminho da escalada. |
Padrão para não legível. Exija uma aprovação de segurança para fazer o downgrade de qualquer variável para acessível. |
Eng da plataforma + segurança |
|
Infostealer para cadeia de suprimentos |
Kill chain abrangeu Lumma Stealer, Context.ai AWS, tokens OAuth, Vercel Workspace e ambientes de produção. |
Correlacione feeds de informações do Infostealer com domínios de funcionários. Automatize a rotação de credenciais quando as credenciais aparecerem nos registros do ladrão. |
Informações sobre ameaças + SOC |
|
Atraso na notificação do fornecedor |
Quase um mês entre a detecção do Context.ai e a divulgação do Vercel. |
Exija cláusulas de notificação de 72 horas em todos os contratos que envolvam OAuth ou integração de identidade. |
Risco de terceiros/legal |
|
Adoção de Shadow AI |
A ferramenta de IA não aprovada de um funcionário tornou-se o vetor de violação para centenas de organizações. |
Estenda a descoberta de shadow IT para plataformas de agentes de IA. Trate a adoção não aprovada como um evento de segurança. |
Operações de segurança + compras |
|
Velocidade de movimento lateral |
Rauch suspeita da aceleração da IA. O invasor comprimiu a janela de acesso ao escalonamento. |
Reduza os SLAs de detecção até contenção abaixo da média de eCrime de 29 minutos. |
Equipe SOC + RI |
Execute ambas as verificações de IoC hoje
Pesquise no console de administração do Google Workspace (Segurança > Controles de API > Gerenciar acesso a aplicativos de terceiros) por dois IDs de aplicativos OAuth.
O primeiro é 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com, vinculado ao Office Suite da Context.ai.
O segundo é 110671459871-f3cq3okebd3jcg1lllmroqejdbka8cqq.apps.googleusercontent.com, vinculado à extensão do Chrome do Context.ai e concedendo acesso de leitura ao Google Drive.
Se algum deles tocou seu ambiente, você estará no raio da explosão, independentemente do que Vercel divulgar a seguir.
O que isso significa para os diretores de segurança
Esqueça a marca Vercel por um momento. O que aconteceu aqui é a primeira grande prova de que as integrações OAuth do agente de IA criam uma classe de violação que a maioria dos programas de segurança empresarial não consegue detectar, definir o escopo ou conter. Um download de truques do Roblox em fevereiro levou ao acesso à infraestrutura de produção em abril. Quatro limites organizacionais, dois provedores de nuvem e um perímetro de identidade. Não é necessário dia zero.
Na maioria das empresas, os funcionários conectaram ferramentas de IA a instâncias corporativas do Google Workspace, Microsoft 365 ou Slack com amplos escopos OAuth, sem que as equipes de segurança soubessem. A violação do Vercel é o estudo de caso de como é essa exposição quando um invasor a encontra primeiro.
