Vercel ซีอีโอ Guillermo Rauch เผยแพร่ความคืบหน้าการสอบสวนบนแพลตฟอร์ม X โดยยืนยันว่าแพลตฟอร์ม AI บุคคลที่สามที่พนักงานของ Vercel ใช้อยู่คือ Context.ai ถูกบุกรุก ผู้โจมตีได้ใช้การผสานรวม Google Workspace OAuth ของแพลตฟอร์มเพื่อได้มาซึ่งข้อมูลรับรองบัญชีของพนักงาน จากนั้นจึงเข้าถึงสภาพแวดล้อมภายในบางส่วนของ Vercel และตัวแปรสภาพแวดล้อมที่ไม่ได้ถูกทำเครื่องหมายว่า “ละเอียดอ่อน”
ห่วงโซ่การโจมตี: จากการบุกรุกผ่าน OAuth ของเครื่องมือ AI สู่การแทรกซึมทีละขั้นในสภาพแวดล้อมของ Vercel
จากการสอบสวนของ Vercel เส้นทางการโจมตีแบ่งออกเป็นสามขั้นตอนที่ค่อย ๆ เพิ่มระดับความรุนแรง ขั้นแรก แอปพลิเคชัน Google Workspace OAuth ของ Context.ai ซึ่งก่อนหน้านี้ถูกบุกรุกในการโจมตีห่วงโซ่อุปทานขนาดใหญ่กว่า อาจส่งผลกระทบต่อผู้ใช้งานหลายร้อยรายในหลายองค์กร ขั้นต่อมา ผู้โจมตีเข้ายึดครองบัญชี Google Workspace ของพนักงาน Vercel ด้วยการบุกรุกผ่าน Context.ai และใช้ข้อมูลรับรองดังกล่าวเพื่อเข้าสู่ระบบภายในของ Vercel ประการที่สาม ผู้โจมตีได้รับสิทธิ์การเข้าถึงเพิ่มเติมผ่านวิธีการไล่ตรวจ/คาดเดา โดยใช้ตัวแปรสภาพแวดล้อมที่ไม่ได้ถูกทำเครื่องหมายว่า “ละเอียดอ่อน”
Rauch ระบุในประกาศว่า ความเร็วในการปฏิบัติการของผู้โจมตีนั้น “น่าทึ่ง” และความเข้าใจเกี่ยวกับระบบของ Vercel นั้น “ลึกซึ้งมาก” โดยประเมินว่ามีความเป็นไปได้สูงว่าผู้โจมตีใช้เครื่องมือ AI เพื่อยกระดับประสิทธิภาพการโจมตีอย่างมาก
ขอบเขตความปลอดภัยของตัวแปรสภาพแวดล้อม “ละเอียดอ่อน” และ “ไม่ละเอียดอ่อน”
เหตุการณ์ครั้งนี้เปิดเผยรายละเอียดสำคัญเกี่ยวกับกลไกความปลอดภัยของตัวแปรสภาพแวดล้อมของ Vercel: ตัวแปรที่ถูกทำเครื่องหมายว่า “ละเอียดอ่อน” ถูกจัดเก็บในลักษณะที่ออกแบบมาเพื่อป้องกันการอ่าน ขณะนี้การสอบสวนยังไม่พบหลักฐานว่าค่าเหล่านี้ถูกเข้าถึง ผู้โจมตีใช้ตัวแปรสภาพแวดล้อมที่ไม่ได้ถูกทำเครื่องหมายว่า “ละเอียดอ่อน” และผู้โจมตีสามารถได้สิทธิ์การเข้าถึงเพิ่มเติมจากสิ่งเหล่านั้นสำเร็จผ่านวิธีการไล่ตรวจ/คาดเดา
Vercel ได้เพิ่มหน้าภาพรวมตัวแปรสภาพแวดล้อม และปรับปรุงอินเทอร์เฟซการจัดการตัวแปรสภาพแวดล้อมที่ละเอียดอ่อน เพื่อช่วยให้ลูกค้าระบุและปกป้องค่าการตั้งค่าที่มีความเสี่ยงสูงได้ชัดเจนขึ้น
การตอบสนองฉุกเฉินของ Vercel และรายการคำแนะนำการดำเนินการอย่างเป็นทางการ
Vercel ได้ว่าจ้าง Google Mandiant บริษัทความปลอดภัยทางไซเบอร์อื่น ๆ และได้แจ้งหน่วยงานบังคับใช้กฎหมายให้เข้ามา Next.js, Turbopack และโครงการโอเพนซอร์สของ Vercel ต่างได้รับการยืนยันว่า “ปลอดภัย” ผ่านการวิเคราะห์ห่วงโซ่อุปทาน โดยบริการแพลตฟอร์มยังคงทำงานตามปกติอยู่
การดำเนินการด้านความปลอดภัยที่ลูกค้าควรทำตามคำแนะนำอย่างเป็นทางการ
ตรวจสอบบันทึกกิจกรรม: ตรวจสอบบันทึกกิจกรรมของบัญชีและสภาพแวดล้อม ระบุการกระทำที่น่าสงสัย
หมุนเวียนตัวแปรสภาพแวดล้อม: ตัวแปรสภาพแวดล้อมที่มีข้อมูลลับ (API keys, tokens, ข้อมูลรับรองฐานข้อมูล, signing keys) แต่ไม่ได้ถูกทำเครื่องหมายว่า “ละเอียดอ่อน” ควรถือว่าอาจถูกเปิดเผยแล้ว และควรให้ความสำคัญกับการหมุนเวียนเป็นอันดับแรก
เปิดใช้งานฟังก์ชันตัวแปรสภาพแวดล้อมที่ละเอียดอ่อน: ตรวจสอบให้แน่ใจว่าค่าการตั้งค่าข้อมูลลับทั้งหมดถูกทำเครื่องหมายเป็น “ละเอียดอ่อน” อย่างถูกต้อง
ตรวจสอบการดีพลอยล่าสุด: สอบสวนการดีพลอยที่ผิดปกติ และลบเวอร์ชันที่น่าสงสัย
ตั้งค่าการป้องกันการดีพลอย: ตรวจสอบให้แน่ใจว่าอย่างน้อยตั้งค่าไว้ที่ระดับ “มาตรฐาน” และหมุนเวียน deployment protection tokens
คำถามที่พบบ่อย
Context.ai คืออะไร และมันกลายเป็นช่องทางเริ่มต้นของการโจมตีครั้งนี้ได้อย่างไร?
Context.ai เป็นเครื่องมือ AI บุคคลที่สามขนาดเล็กที่ใช้การผสานรวม Google Workspace OAuth ซึ่งพนักงานของ Vercel ใช้สำหรับงานประจำ การสอบสวนแสดงว่าแอปพลิเคชัน OAuth ของเครื่องมือนี้ก่อนหน้านี้ถูกบุกรุกในการโจมตีห่วงโซ่อุปทานที่กว้างขวางกว่า อาจส่งผลกระทบต่อผู้ใช้หลายร้อยรายในหลายองค์กร และข้อมูลรับรองบัญชีของพนักงาน Vercel ถูกผู้โจมตีได้มาในกระบวนการนี้
ตัวแปรสภาพแวดล้อมที่ Vercel ทำเครื่องหมายว่า “ละเอียดอ่อน” ได้รับผลกระทบหรือไม่?
ขณะนี้ยังไม่พบหลักฐานว่ามีการเข้าถึงตัวแปรสภาพแวดล้อมที่ทำเครื่องหมายว่า “ละเอียดอ่อน” ตัวแปรเหล่านี้ถูกจัดเก็บด้วยวิธีพิเศษเพื่อป้องกันการอ่าน ผู้โจมตีใช้ตัวแปรสภาพแวดล้อมที่ไม่ได้ถูกทำเครื่องหมายว่า “ละเอียดอ่อน” และผู้โจมตีสามารถได้รับสิทธิ์การเข้าถึงเพิ่มเติมจากสิ่งเหล่านั้นสำเร็จผ่านวิธีการไล่ตรวจ/คาดเดา
ลูกค้า Vercel จะยืนยันได้อย่างไรว่าตนเองได้รับผลกระทบหรือไม่?
หากไม่ได้รับการติดต่อโดยตรงจาก Vercel Vercel ระบุว่า ณ ตอนนี้ยังไม่มีเหตุผลที่จะเชื่อว่าข้อมูลรับรองหรือข้อมูลส่วนบุคคลของลูกค้าที่เกี่ยวข้องถูกเปิดเผย แนะนำให้ลูกค้าทุกรายดำเนินการตรวจสอบบันทึกกิจกรรมด้วยตนเอง หมุนเวียนตัวแปรสภาพแวดล้อมที่ไม่ได้ถูกทำเครื่องหมายว่า “ละเอียดอ่อน” และเปิดใช้งานฟังก์ชันตัวแปรสภาพแวดล้อมที่ละเอียดอ่อนอย่างถูกต้อง หากต้องการความช่วยเหลือด้านเทคนิค สามารถติดต่อ Vercel ผ่าน vercel.com/help ได้
btc.bar.articles
Recursive Superintelligence ระดมทุนสำเร็จ 5 ร้อยล้านดอลลาร์สหรัฐฯ โดย NVIDIA เป็นผู้นำการลงทุน
ตามรายงานของหนังสือพิมพ์ Financial Times ของสหราชอาณาจักร บริษัทสตาร์ทอัพด้านปัญญาประดิษฐ์ (AI) แห่งใหม่ของสหราชอาณาจักรชื่อ Recursive Superintelligence ซึ่งก่อตั้งได้เพียงราว 4 เดือน ได้ระดมทุนแล้วอย่างน้อย 500 ล้านดอลลาร์ สร้างมูลค่า (pre-money valuation) ในรอบนี้อยู่ที่ 4,000 ล้านดอลลาร์ โดยรอบนี้นำโดย GV (เดิมคือ Google Ventures) และมี Nvidia เข้าร่วมติดตามการลงทุน
MarketWhisper1 ชั่วโมง ที่แล้ว
ทรัมป์ลงนามตั้งชื่อศูนย์ข้อมูล Fermi AI เผชิญวิกฤต ซีอีโอลาออกทำให้ราคาหุ้นดิ่งลง
การแถลงอย่างกะทันหันของ CEO ของ Fermi America ส่งผลให้ราคาหุ้นร่วงลงประมาณ 20% และสะสมร่วงลง 75% นับตั้งแต่เข้าจดทะเบียน บริษัทกำลังเผชิญกับปัญหาการขาดผู้เช่ารายหลักและปัญหาด้านซัพพลายเชน ซึ่งทำให้โครงการไม่สามารถแล้วเสร็จได้ตามกำหนด มีแรงกดดันหลายด้านเกิดขึ้นภายใน นักลงทุนยื่นฟ้อง และตลาดเริ่มประเมินความเสี่ยงและรูปแบบธุรกิจของดาต้าเซ็นเตอร์ที่เกี่ยวข้องกับ AI ใหม่
MarketWhisper2 ชั่วโมง ที่แล้ว
สหภาพ Hyundai เรียกร้องโบนัส $2 Billion ปรับขึ้นค่าจ้าง ท่ามกลางความกังวลจากระบบอัตโนมัติด้วย AI
สหภาพแรงงานของ Hyundai Motor เรียกร้องโบนัส 30% ของกำไรสุทธิประจำปี 2025 ของบริษัท เพิ่มฐานเงินเดือน ความมั่นคงในการทำงานต่อสู้กับระบบ AI และโบนัสแบ่งปันกำไรกับบริษัทร่วมทุน สะท้อนแนวโน้มที่กว้างขึ้นในการเจรจาแรงงานท่ามกลางระบบอัตโนมัติ
GateNews2 ชั่วโมง ที่แล้ว
มณฑลกวางตุ้งลงทะเบียนบริการปัญญาประดิษฐ์เชิงสร้างสรรค์ใหม่ 6 รายการ ยอดสะสมแตะ 47
มณฑลกวางตุ้งได้เพิ่มบริการปัญญาประดิษฐ์เชิงสร้างสรรค์ใหม่ 6 รายการ รวมเป็น 47 ภายใต้กฎระเบียบของจีน บริการลักษณะดังกล่าวต้องลงทะเบียนกับหน่วยงานท้องถิ่น หากมีการใช้โมเดลภาษาขนาดใหญ่ที่มีอยู่แล้วและให้บริการแก่ผู้ชมในประเทศ
GateNews2 ชั่วโมง ที่แล้ว
ผู้ว่าการรัฐแมริแลนด์เชิญ Microsoft และผู้นำด้าน AI หารือความเสี่ยงด้านความปลอดภัยไซเบอร์จาก AI ขั้นสูง
ผู้ว่าการรัฐแมริแลนด์ เวส มัวร์ กำลังหารือกับผู้นำด้าน AI รวมถึงแซม อัลท์แมนของ OpenAI เพื่อรับมือความเสี่ยงด้านความปลอดภัยไซเบอร์ที่เกิดจากระบบ AI ขั้นสูง เช่น Claude Mythos ของแอนโทรปิก กลยุทธ์ด้านความปลอดภัยของ AI ของรัฐ ซึ่งเริ่มต้นตั้งแต่ต้นปี 2024 เน้นการใช้ AI อย่างมีจริยธรรม และการพัฒนากรอบการบริหารจัดการความเสี่ยงภายในเดือนธันวาคม 2025
GateNews3 ชั่วโมง ที่แล้ว
