云应用托管服务提供商 Vercel 表示，其内部系统近日遭黑客入侵，部分客户数据被非法访问和窃取。声称实施此次攻击的黑客在网络犯罪论坛上表示，已从 Vercel 系统中获取敏感客户凭据，并正在出售相关数据。

漏洞被指源自 Context AI 应用

Vercel 在周日发布的声明中称，此次安全事件与另一家软件公司 Context AI 相关。一名 Vercel 员工此前下载并使用了 Context AI 开发的一款应用，并将该应用连接至由谷歌托管的企业账户。Vercel 表示，黑客利用这一 OAuth 连接接管了该员工的谷歌账户，从而进入 Vercel 部分内部系统，并获取其中存储的未加密凭据。

Vercel 指出，其广泛用于网页和应用开发的开源项目 Next.js 和 Turbopack 未受到此次事件影响。

客户通知与密钥更换建议

Vercel 表示，已联系那些应用数据和密钥被泄露的客户。公司首席执行官 Guillermo Rauch 在社交平台 X（原推特）上建议客户，更换其应用部署中标记为“非敏感”的所有密钥和凭据。

Vercel 发言人未披露可能受影响客户的数量，但表示公司尚未收到来自威胁行为者的任何直接沟通，例如勒索要求。

黑客身份存疑

目前尚不清楚此次针对 Vercel 和 Context AI 的攻击是否由同一黑客实施。发布出售数据信息的威胁行为者在网络犯罪论坛上自称代表黑客组织 ShinyHunters。TechCrunch 看到的相关帖子显示，攻击者声称正在出售从 Vercel 窃取的客户 API 密钥、源代码以及数据库数据访问权限。

然而，以攻击云服务和数据库公司闻名的 ShinyHunters 黑客组织则对网络安全新闻网站 Bleeping Computer表示，与此次事件无关。

可能波及范围与“供应链”风险

Vercel 表示，正在对事件展开调查，并已就相关情况向 Context AI 进行询问。公司称，此次攻击可能影响“数百个组织的用户”，范围不仅限于 Vercel 自身系统，并警告该事件可能在科技行业引发连锁性安全风险。

报道指出，这起事件是近几个月来针对软件开发者的一系列“供应链”攻击中的最新一例。此类开发者的代码被广泛用于互联网基础设施，一旦相关软件遭入侵，黑客可能一次性获取大量目标的凭据，并进一步访问其他云服务提供商存储的数据。

Context AI 承认曾发生相关漏洞

从事 AI 模型评估和分析业务的 Context AI 在其官网确认，今年 3 月，其 Context AI 办公套件消费者应用曾发生安全漏洞。该应用通过一项未具名的第三方服务，帮助用户在多个第三方应用之间自动化操作和工作流。

Context AI 表示，事件发生后曾通知一名客户。但在 Vercel 事件披露后，公司认为当时的影响范围可能比最初判断的更广。Context AI 称，黑客“很可能已入侵部分消费者用户的 OAuth 令牌”。

Context AI 未回应有关此次漏洞的置评请求，也未说明当时未公开披露该事件的原因，亦未透露是否收到黑客勒索要求。

（文中已根据最新信息更正，删除与被 OpenAI 收购员工相关且与 Context AI 无关的内容，并更新了 Vercel 的相关表述。）