Vercel 遭駭、加密開發者急換 API Key：AI 工具 Context.ai 成破口，Web3 前端供應鏈拉警報

📄完整原文· 由 trafilatura 自動擷取Gemini 翻譯1852 字

託管眾多 Web3 前端的雲端平台 Vercel 遭駭，攻擊者透過第三方 AI 工具 Context.ai 的 OAuth 漏洞滲入內部環境，Solana DEX Orca 已緊急輪換所有部署憑證；威脅組織 ShinyHunters 在 BreachForums 掛賣 Vercel 資料索價 200 萬美元，事件恰逢 Vercel 準備 IPO，引發 AI 工具供應鏈安全的系統性憂慮。（前情提要：小心！Telegram 新詐騙手法頻傳，駭客「截圖釣魚」盜取帳戶）（背景補充：MCP（Model Context Protocol）模型上下文協議：加密 AI 的數位連結器）放在 Vercel 上跑的 Web3 前端，可能正在洩漏 API Key。Solana 去中心化交易所 Orca 率先承認前端託管於 Vercel，並已預防性輪換所有部署憑證——即便鏈上協議與使用者資金目前未受波及，這個動作本身已說明問題的嚴重程度。據 CoinDesk 報導，Vercel 將這次入侵追溯到員工日常使用的第三方 AI 工具 Context.ai。攻擊者的手法不是暴力破解帳密，而是直接攻破 Context.ai 與員工 Google Workspace 之間的 OAuth 授權層——取得這個授權，就等於拿到了不需要密碼也能操作帳號的通行證。拿下 Google Workspace 連線後，攻擊者進一步提權，滲透 Vercel 內部環境。整條路徑乾淨俐落：AI 工具 → OAuth 授權 → 企業帳號 → 核心基礎設施，每一步都在企業常見的信任邊界內移動，傳統防禦機制幾乎難以察覺。根據 BleepingComputer 和 The Information 的報導，這次行動背後的威脅組織自稱 ShinyHunters——這個名字在資安圈並不陌生，曾多次針對雲端服務平台發動大規模資料竊取行動。事件曝光後，網路犯罪論壇 BreachForums 旋即出現一筆掛賣：賣家聲稱持有 Vercel 的存取金鑰、原始碼等資料，開價 200 萬美元。這筆交易目前尚未獲得獨立查證。 Vercel 官方的回應採取了精確的「切片說法」：標記為 sensitive 的環境變數在儲存時「完全加密」，並設有多層防禦機制，無證據顯示這類變數遭到存取；受影響的是「non-sensitive」類別的環境變數，且只涉及「有限數量」的客戶。問題在於，這道切片是否足夠安全？對加密應用而言，即便是「non-sensitive」類別的環境變數，也可能包含連線區塊鏈資料供應商、後端 RPC 節點的憑證。Vercel 目前已聘請事件回應公司展開調查，並通報執法單位，資料外洩範圍仍在持續評估中。 Vercel 是 Next.js 的主要維護者——這個 JavaScript 框架是目前網頁開發生態中使用最廣泛的選擇之一。對 Web3 團隊來說，Vercel 早已是預設的前端部署平台：錢包介面、dApp 儀錶板、交易介面，大量加密應用的使用者端就跑在這上面。前端部署時，開發者習慣將連線後端服務的憑證存在環境變數中——API Key、RPC 端點、資料庫連線字串，全都在這裡。一旦這層被滲透，攻擊者不需要破解智慧合約，直接從前端基礎設施拿到進入後端的鑰匙。更值得警惕的是時機：Vercel 正在籌備 IPO。一場資安事件在這個節點爆發，對投資人信心的衝擊遠超過技術層面的損失。 Context.ai 這個破口揭示了一個正在成形的攻擊模板：AI 輔助工具快速普及，大量被授予企業帳號的高許可權存取；但這些工具的資安審查往往遠遠落後於它們被採用的速度。OAuth 授權一旦被攻破，攻擊者拿到的不是一組密碼，而是一張持續有效的通行證。對 Web3 團隊而言，現在應立即執行的清單不長，但每一項都不能省：第一，立即輪換所有 Vercel 環境變數中的 API Key，不論是否標記為 sensitive；第二，審查專案中所有已授予 Google Workspace 或其他企業帳號存取權的第三方 AI 工具，撤銷非必要授權；第三，重新檢視環境變數分級策略，確保真正的高許可權憑證

資料狀態✓ 已擷取全文閱讀原文（動區 BlockTempo）

🔍歷史類似事件· 關鍵字 + 標的比對6 則

2026-04-25

相似度 170%關鍵字 api/key同分類 zh

2026-04-21

免費拿 NVIDIA 模型 API key！3 分鐘註冊可選 Kimi、DeepSeek、Llama 全能跑

相似度 170%關鍵字 api/key同分類 zh

2026-04-20

Vercel 遭駭，加密貨幣開發者紛紛緊急鎖定 API keys

相似度 130%關鍵字 api/vercel

2026-04-30

AMPLIFY 2026 香港峰會圓滿落幕：量化 Web 4.0 增長，AI 交易 Demo Day 點燃創新引擎

相似度 120%關鍵字 web同分類 zh

2026-04-27

Telegram Bot API 重大 AI 升級！Telewer、GPTBots 無程式碼機器人：一鍵打造 AI 客服、空投、社群審核

相似度 120%關鍵字 api同分類 zh

2026-04-27

KIRAPAY 與 Solana Name Service (SNS) 於香港 Web3 嘉年華圓滿舉辦「Permissionless Drinks」，連結 Web2 商戶與 Web3 建設者

相似度 120%關鍵字 web同分類 zh

💡 目前用關鍵字 + 標的比對（MVP）· 之後會升級為 embedding 語意搜尋

原始資訊

ID：5fced4e510

來源：動區 BlockTempo

發佈：2026-04-20 01:47:10

分類：zh_news · 導出分類 zh

標的：未指定

社群投票：+0 / −0 · ⭐ 0 重要 · 💬 0 留言