كشف الرئيس التنفيذي لشركة Vercel، Guillermo Rauch، على منصة X عن تقدم التحقيق، مؤكّدًا أن منصة AI التابعة لجهة خارجية Context.ai التي يستخدمها موظفو Vercel قد تم اختراقها. حصل المهاجمون على بيانات اعتماد حسابات الموظفين عبر تكامل OAuth مع Google Workspace الخاص بالمنصة، ثم تمكنوا من الوصول إلى بعض بيئات Vercel الداخلية وإلى متغيرات بيئية لم يتم وسمها على أنها «حساسة».
سلسلة الهجوم: من اختراق OAuth لأداة AI إلى اختراق تدريجي لبيئة Vercel
وفقًا للتحقيق الذي أجرته Vercel، تتضمن مسار الهجوم ثلاث مراحل متصاعدة على نحو تدريجي. أولًا، تم اختراق تطبيق OAuth الخاص بـ Google Workspace في Context.ai ضمن هجوم سلسلة توريد أكبر نطاقًا حدث سابقًا، وقد يكون ذلك قد أثر في مئات المستخدمين من عدة مؤسسات. ثانيًا، من خلال اختراق Context.ai، سيطر المهاجمون على حسابات موظفي Vercel في Google Workspace، واستخدموا بيانات اعتمادها للوصول إلى الأنظمة الداخلية لدى Vercel. ثالثًا، استخدم المهاجمون أسلوب التعداد (التعداد/Enumerating) للحصول على مزيد من صلاحيات الوصول عبر متغيرات بيئية لم يتم وسمها على أنها «حساسة».
وأشار Rauch في الإعلان إلى أن سرعة تحركات المهاجمين «مذهلة»، وأن معرفتهم بأنظمة Vercel «عميقة جدًا»، مع تقييم أن من المرجح للغاية أنهم استفادوا من أدوات AI لرفع كفاءة الهجوم بشكل كبير.
الحدّ الأمني بين المتغيرات البيئية «الحساسة» و«غير الحساسة»
يُظهر هذا الحادث تفاصيل جوهرية حول آليات أمان متغيرات بيئة Vercel: يتم تخزين المتغيرات البيئية الموسومة على أنها «حساسة» بطريقة تمنع قراءتها، ولم يعثر التحقيق حاليًا على أي دليل على أن هذه القيم قد تم الوصول إليها. ما تم استغلاله من قبل المهاجمين هو متغيرات بيئية غير موسومة على أنها «حساسة»، ونجح المهاجمون عبر أسلوب التعداد في الحصول على صلاحيات وصول إضافية منها.
قامت Vercel بإضافة صفحة نظرة عامة على المتغيرات البيئية، وكذلك بواجهة لإدارة المتغيرات البيئية الحساسة بعد تحسينها، لمساعدة العملاء على تحديد قيم الإعدادات عالية الخطورة وحمايتها بشكل أوضح.
استجابة Vercel الطارئة وقائمة الإجراءات الموصى بها رسميًا
قامت Vercel بتعيين Google Mandiant وشركات أمن سيبراني أخرى، وأبلغت الجهات المختصة بإنفاذ القانون للتدخل. تم تأكيد أن Next.js وTurbopack وجميع المشاريع مفتوحة المصدر التابعة لـ Vercel آمنة عبر تحليل سلسلة التوريد، وتعمل خدمات المنصة حاليًا بشكل طبيعي.
إجراءات أمان العملاء الموصى بها رسميًا
راجع سجلات النشاط: افحص سجلات نشاط الحساب والبيئة وحدد الأنشطة المشبوهة
بدّل المتغيرات البيئية: أي متغيرات بيئية تحتوي على معلومات سرية (مفاتيح API، الرموز، بيانات اعتماد قواعد البيانات، مفاتيح التوقيع) ولكنها غير موسومة كـ حساسة، يجب اعتبارها على أنها ربما تم تسريبها وأولوية لتبديلها
فعّل ميزة المتغيرات البيئية الحساسة: تأكد من وسم جميع قيم الإعدادات السرية بشكل صحيح على أنها «حساسة»
راجع عمليات النشر الأخيرة: تحرَّ عن عمليات نشر غير معتادة واحذف الإصدارات المشبوهة
قم بإعداد حماية النشر: تأكد من تعيينها على الأقل إلى مستوى «قياسي»، وقم بتدوير رموز حماية النشر
الأسئلة الشائعة
ما هو Context.ai، وكيف أصبح مدخلًا للهجوم الحالي؟
Context.ai هي أداة AI ثالثة صغيرة تستخدم تكامل Google Workspace OAuth، ويستخدمها موظفو Vercel في أعمالهم اليومية. تُظهر نتائج التحقيق أن تطبيق OAuth لهذه الأداة قد تم اختراقه ضمن هجوم أكثر شمولًا على سلسلة التوريد، ما قد يكون قد أثر في مئات المستخدمين من عدة مؤسسات، وقد حصل المهاجمون على بيانات اعتماد حسابات موظفي Vercel خلال هذه العملية.
هل تتأثر المتغيرات البيئية الموسومة كـ «حساسة»؟
لا توجد حاليًا أدلة على أن المتغيرات البيئية الموسومة كـ «حساسة» قد تم الوصول إليها. تُخزن هذه المتغيرات باستخدام طريقة خاصة لمنع القراءة. يستخدم المهاجمون متغيرات بيئية غير موسومة على أنها «حساسة»، وقد نجح المهاجمون عبر أسلوب التعداد في الحصول على صلاحيات وصول إضافية منها.
كيف يمكن لعملاء Vercel التأكد مما إذا كانوا متأثرين؟
إذا لم تتلقَّ تواصلًا مباشرًا من Vercel، فإن Vercel تقول إنه لا توجد حاليًا أسباب للاعتقاد بأن بيانات اعتماد العملاء المعنيين أو معلوماتهم الشخصية قد تم تسريبها. توصي بمراجعة جميع العملاء بشكل استباقي لسجلات النشاط، وتدوير المتغيرات البيئية غير الموسومة كـ «حساسة»، وتمكين ميزة المتغيرات البيئية الحساسة بشكل صحيح. للحصول على دعم تقني، تواصل مع Vercel عبر vercel.com/help.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
Google Research تطلق ReasoningBank: وكلاء الذكاء الاصطناعي يتعلمون استراتيجيات الاستدلال من النجاح والفشل
رسالة أخبار البوابة، 22 أبريل — أطلقت Google Research ReasoningBank، وهو إطار عمل لِـذاكرة الوكلاء يتيح لوكلاء مدفوعين بنماذج لغوية كبيرة التعلّم بشكل مستمر بعد النشر. يستخرج الإطار استراتيجيات استدلال عامة من تجارب المهام الناجحة والفاشلة على حد سواء، ويخزنها في
GateNewsمنذ 11 د
SK电信与英伟达合作推出在韩国政府倡议下的A.X K2 AI模型
SK电信与英伟达在韩国的“专有AI基础模型”倡议下推动A.X K2,从A.X K1扩展为一个全栈、开源的AI平台,并通过Krafton-Rebellions财团实现,面向学术与商业用途。
摘要:本文报道SK电信与英伟达的合作,旨在开发A.X K2,以作为在韩国政府支持项目下A.X K1的继任者。该努力通过由Krafton-Rebellions主导的财团,创建一个全栈、开源的AI平台,研究重点在多模态与视觉-语言模型,并为学术界与产业提供对A.X模型的开放获取。
GateNewsمنذ 15 د
清华教授戴继锋推出 Naive.ai,融资约 $300M ,估值 $800M
Gate News 消息,4月22日——清华大学电子工程系副教授戴继锋创立了 Naive.ai,这是一家专注于开源模型后训练和 AI 代理的公司。该初创公司已融资约 $300 百万,估值约为 80
GateNewsمنذ 35 د
AWS توسّع سير عمل الذكاء الاصطناعي متعدد العوامل، وتدعم Claude Opus 4.7 على Bedrock
رسالة Gate News في 22 أبريل — أعلنت شركة Amazon Web Services عن توسيع مبادراتها الخاصة بالذكاء الاصطناعي الوكيل من خلال سير عمل متعدد العوامل، مع دعم Anthropic's Claude Opus 4.7 على Amazon Bedrock لمساعدة العملاء على تجاوز تجارب الطيار الخاصة بالذكاء الاصطناعي التوليدي. وتقوم الشركة بتوسيع علاقاتها مع الشركاء بينما ينتقل العملاء من أدوات ذكاء اصطناعي مفردة إلى أنظمة تربط بين عدة وكلاء متخصصين،
GateNewsمنذ 45 د
Zhipu AI توقف اشتراك GLM Coding Plan غير المحدود للحصة الأسبوعية في 30 أبريل
بوابة الأخبار، 22 أبريل — أعلنت Zhipu AI أنها ستوقف التجديد التلقائي للاشتراك في GLM Coding Plan غير المحدود للحصة الأسبوعية بدءًا من الساعة 10:00 صباحًا بتوقيت بكين في 30 أبريل 2026.
يؤثر الإيقاف على المستخدمين الذين يشتركون حاليًا في الخطة القديمة مع تفعيل التجديد التلقائي
GateNewsمنذ 1 س
إزالة Claude Code لدى Anthropic تُشعل موجة غضب لدى المطورين؛ OpenAI تحظى بدعم المجتمع
أعلنت شركة Anthropic عن إسقاط Claude Code من خطة Pro، ما أثار انتقادات مع انتقال المطورين إلى OpenAI؛ يظل Codex مجانيًا/أساسيًا، وتُحسّن GPT-5.4 وImage 2.0 الأداء، ما يدفع إلى انتقال واسع للمستخدمين.
ملخص: تستعرض المقالة إزالة Anthropic لـ Claude Code من خطة $20 Pro، وهو ما يؤدي إلى رد فعل عنيف من المطورين الذين يصفونه بزيادة أسعار خفية وخطرًا على الاعتمادية. وتقارن هذا القرار بسياسة OpenAI المتمثلة في إبقاء Codex ضمن الفئات المجانية والأساسية، مع إبراز الأداء القوي للنماذج من GPT-5.4 وChatGPT Images 2.0، وتشير إلى انتقال سريع للمستخدمين إلى OpenAI، حيث يُقال إن Codex تجاوز 4 ملايين مستخدم نشط أسبوعيًا.
GateNewsمنذ 1 س
