Vercel 确认安全事件,暗网卖家声称掌握核心访问权限
云托管平台 Vercel 于 4 月 19 日发布安全公告,确认内部系统遭遇未经授权访问。该公司表示已启动调查,聘请了安全事件响应专家,并通知了执法部门。
暗网出售声明
几乎在同一时间,暗网论坛 BreachForums 上出现了一则出售帖,声称拥有 Vercel 的内部访问权限。卖家自称属于黑客组织 ShinyHunters,以 200 万美元的价格挂牌出售包含 API 密钥、NPM 令牌、GitHub 令牌在内的敏感数据,并展示了部分内部数据库结构和 Linear 项目管理系统的访问截图。

争议与疑点
目前该事件存在多个未确认的关键信息:
有安全研究员指出,这名卖家很可能并非真正的 ShinyHunters 成员,而是冒充者。真正的 ShinyHunters 组织曾在其官方网站上声明不使用 Telegram,而此次出售帖正是通过 Telegram 渠道传播的。
此外,信息安全研究员 Ryan Moran 表示自己此前对该冒充者进行过分析,并已向 Vercel 通报了相关信息。
Vercel 官方回应
Vercel 的官方安全公告措辞较为克制,确认"有限数量的客户受到影响"且正在直接联系这些客户,但未披露被访问系统的具体范围、数据泄露程度或攻击者身份。
官方建议所有用户:
- 审查项目中的环境变量
- 使用 Vercel 提供的敏感环境变量功能
- 如需技术支持,通过 vercel.com/help 联系
供应链影响
Vercel 是 Next.js 的创建者和维护者,该框架每周下载量超过 600 万次。如果攻击者确实获得了 NPM 发布令牌,理论上可以在 Next.js 包中植入恶意代码,影响全球范围内的开发者。不过目前尚无证据表明 NPM 包已被篡改。
对于部署在 Vercel 上的项目,最紧迫的风险是环境变量泄露——攻击者可能获取数据库凭证、API 密钥等敏感信息。
来源:Vercel Security Bulletin · BreachForums · DiffeKey
推荐阅读
- 华为开源 920 亿参数 openPangu-2.0-Flash 模型6/30/2026
- DeepSeek 联合北大开源 DSpark:半自回归推测解码,推理速度提升 57% 至 85%6/27/2026
- Claude Code 被指通过 system prompt 隐蔽传递代理与时区信息6/30/2026
- xAI 开源 Grok Build:Rust 编写的终端编程代理7/15/2026
- Linux登顶2026 CVE漏洞榜:内核维护者称这是好事7/4/2026
- Hallmark:一份写给AI编码助手的反AI味设计手册7/17/2026
- Linux 内核曝 DirtyClone 高危漏洞,本地用户可静默提权至 root6/27/2026
- 27B 模型塞进手机:PrismML Bonsai 27B 把权重压到 1-bit7/18/2026
- B站在WAIC展出开源AI猫娘:能看懂屏幕、主动搭话的桌面伙伴7/18/2026
- Kimi K3 首登 DeepSWE v1.1:开源权重模型挤进前三7/18/2026
- 苹果游说白宫,寻求采购长鑫存储芯片许可6/27/2026
- GPT-5.6用一段十页提示词,关闭凸优化30年的复杂性缺口7/19/2026
- Moonshine Micro:80美分芯片跑完整语音流水线,500KB内存装下VAD+STT+TTS7/18/2026
- LingBot-Map:用前馈3D基础模型做流式重建,20FPS跑完一万帧7/18/2026
- F-Droid将Google ADV定性为恶意软件:40亿设备已被预装7/5/2026
- Vercel 支持通过 Dockerfile 部署容器到 Fluid Compute7/1/2026
- 字节跳动开源 Lance:3B 参数统一图像视频理解生成与编辑5/22/2026
- Kimi K2.7 Code 开源:代码基准全面提升,token 消耗降 30%6/12/2026
- Anthropic 呼吁全球放缓前沿 AI 开发,警告递归自我改进风险6/5/2026
- MiniMax M3 发布:1M 上下文 + 原生多模态 + 前沿 Coding6/1/2026
- 小米发布 Xiaomi OneVL 一步式潜空间推理框架并全面开源5/13/2026
- Apple M5 首个公开内核内存破坏利用:5 天绕过硬件级防护5/15/2026
- NGINX 曝严重 RCE 漏洞:潜伏代码库 18 年,全球数亿服务器面临风险5/14/2026
- Microsoft Edge 被曝会话期间明文保存所有密码于内存5/5/2026
- TanStack npm 供应链攻击复盘:Pwn Request + 缓存投毒 + OIDC 内存提取的完整攻击链5/12/2026
- 小米开源 OmniVoice:646 语种零样本语音克隆 TTS5/7/2026
- Dirty Frag:Linux 内核零拷贝路径本地提权漏洞5/7/2026
- 三星和 LG 将为 iPhone 18 Pro 供应 OLED 面板,京东方未入围5/7/2026
- GitHub 将于 6 月在旧金山总部举办 OpenClaw 社区交流活动5/5/2026
- PyPI 包 lightning 遭供应链攻击,800 万月下载量的 ML 框架暴露开发者凭证5/2/2026