Eén medewerker van Vercel adopteerde een AI-tool. Eén medewerker bij die AI-leverancier werd getroffen door een infostealer. Die combinatie creëerde een inlooppad naar de productieomgevingen van Vercel via een OAuth-subsidie die niemand had beoordeeld.
Vercel, het cloudplatform achter Next.js en zijn miljoenen wekelijkse npm-downloads, zondag bevestigd dat aanvallers ongeautoriseerde toegang hebben verkregen tot interne systemen. Mandiant werd binnengebracht. De politie werd op de hoogte gebracht. Onderzoeken blijven actief. Een update op maandag bevestigde dat Vercel samenwerkte met GitHub, Microsoft, npm en Socket om te verifiëren dat er geen Vercel npm-pakketten waren gecompromitteerd. Vercel heeft ook aangekondigd dat het de creatie van omgevingsvariabelen nu standaard op ‘gevoelig’ zet. Next.js, Turbopack, AI SDK en alle door Vercel gepubliceerde npm-pakketten blijven compromisloos na een gecoördineerde audit met GitHub, Microsoft, npm en Socket.
Context.ai was het startpunt. De analyse van OX Security ontdekte dat een medewerker van Vercel de browserextensie Context.ai had geïnstalleerd en zich daarbij had aangemeld met een zakelijk Google Workspace-account, waardoor brede OAuth-rechten werden verleend. Toen Context.ai werd geschonden, erfde de aanvaller de toegang tot de werkruimte van die medewerker, draaide zich om naar Vercel-omgevingen en escaleerde de rechten door omgevingsvariabelen te doorzoeken die niet als ‘gevoelig’ waren gemarkeerd. In het bulletin van Vercel staat dat variabelen die als gevoelig zijn gemarkeerd, zodanig worden opgeslagen dat ze niet kunnen worden gelezen. Variabelen zonder die aanduiding waren in leesbare tekst toegankelijk via het dashboard en de API, en de aanvaller gebruikte ze als escalatiepad.
CEO Guillermo Rauch beschreven de aanvaller als “zeer geavanceerd en, naar ik sterk vermoed, aanzienlijk versneld door AI.” Jaime Blasco, CTO van Nudge Security, zelfstandig naar boven gekomen een tweede OAuth-subsidie gekoppeld aan de Chrome-extensie van Context.ai, die overeenkomt met de client-ID van Vercel’s gepubliceerde IOC met Context.ai’s Google-account vóór de openbare verklaring van Rauch. The Hacker News meldde dat Google de Chrome-extensie van Context.ai op 27 maart uit de Chrome Web Store heeft verwijderd. Volgens The Hacker News en Nudge Security heeft die extensie een tweede OAuth-subsidie ingebouwd die leestoegang tot de Google Drive-bestanden van gebruikers mogelijk maakt.
Patiënt nul. Een Roblox-cheat en een Lumma Stealer-infectie
Hudson Rock publiceerde forensisch bewijs op maandag meldde dat de oorsprong van de inbreuk terug te voeren is op een Lumma Stealer-infectie uit februari 2026 op de machine van een Context.ai-medewerker. Volgens Hudson Rock bleek uit de browsergeschiedenis dat de medewerker Roblox auto-farm-scripts en uitvoerders van game-exploit downloadde. De verzamelde inloggegevens omvatten Google Workspace-aanmeldingen, Supabase-sleutels, Datadog-tokens, Authkit-inloggegevens en het support@context.ai-account. Hudson Rock identificeerde de geïnfecteerde gebruiker als een kernlid van “context-inc”, de tenant van Context.ai op het Vercel-platform, met beheerderstoegang tot variabele dashboards van de productieomgeving.
Context.ai publiceerde een eigen bulletin op zondag (maandag bijgewerkt), waarbij wordt onthuld dat de inbreuk gevolgen heeft voor het verouderde AI Office Suite-consumentenproduct, en niet voor het zakelijke Bedrock-aanbod (Context.ai’s agentinfrastructuurproduct, niet gerelateerd aan AWS Bedrock). Context.ai zegt dat het in maart ongeoorloofde toegang tot zijn AWS-omgeving heeft gedetecteerd, CrowdStrike heeft ingehuurd om dit te onderzoeken en de omgeving heeft afgesloten. Uit het bijgewerkte bulletin bleek vervolgens dat de reikwijdte breder was dan aanvankelijk werd gedacht: de aanvaller compromitteerde ook OAuth-tokens voor consumentengebruikers, en een van die tokens opende de deur naar Vercels Google Workspace.
De verblijftijd is het detail waar beveiligingsdirecteuren zich zorgen over moeten maken. Er zat bijna een maand tussen de detectie van Context.ai in maart en de onthulling van Vercel op zondag. Een afzonderlijke Trend Micro-analyse verwijst naar een inbraak die begint als begin juni 2024 – een bevinding die, indien bevestigd, de verblijftijd zou verlengen tot ongeveer 22 maanden. VentureBeat kon die tijdlijn niet zelfstandig in overeenstemming brengen met de datering van Hudson Rock in februari 2026; Trend Micro heeft vóór publicatie niet gereageerd op een verzoek om commentaar.
Waar detectie blind gaat
Beveiligingsdirecteuren kunnen deze tabel gebruiken om hun eigen detectiestack te vergelijken met de vier-hop-kill-keten die door deze inbreuk wordt uitgebuit.
|
Dood Chain Hop |
Wat is er gebeurd |
Wie moet detecteren |
Typische dekking |
Gat |
|
1. Infostealer op werknemersapparaat |
Context.ai-werknemer heeft Roblox-cheatscripts gedownload; Lumma Stealer heeft Workspace-credits en Supabase/Datadog/Authkit-sleutels verzameld. |
EDR op eindpunt; bewaking van de blootstelling aan referenties. |
Laag. Apparaat wordt waarschijnlijk onderbewaakt. Geen controle van stealerlogboeken bij de meeste organisaties. |
De meeste bedrijven abonneren zich niet op infostealer-intelligentiefeeds en correleren de stealer-logboeken niet met de e-maildomeinen van werknemers. |
|
2. AWS-compromis op Context.ai |
De aanvaller gebruikte verzamelde inloggegevens om toegang te krijgen tot de AWS van Context.ai. Gedetecteerd in maart. |
Context.ai-cloudbeveiliging; AWS CloudTrail. |
Gedeeltelijk gedetecteerd. Context.ai stopte de AWS-toegang, maar miste OAuth-token-exfiltratie. |
Uit het eerste onderzoek is geen exfiltratie van OAuth-tokens gebleken. De reikwijdte werd onderschat tot de onthulling van Vercel. |
|
3. Diefstal van OAuth-tokens in Vercel Workspace |
Gecompromitteerd OAuth-token dat wordt gebruikt om toegang te krijgen tot de Google Workspace van een Vercel-medewerker. Werknemer had ‘Alles toestaan’-machtigingen verleend via de Chrome-extensie. |
Google Workspace-controlelogboeken; OAuth-app-monitoring; CASB. |
Zeer laag. De meeste organisaties houden geen toezicht op de gebruikspatronen van OAuth-tokens van derden. |
Geen enkele goedkeuringsworkflow heeft de subsidie onderschept. Geen anomaliedetectie bij OAuth-tokengebruik door een gecompromitteerde derde partij. Dit is de sprong die niemand zag. |
|
4. Zijwaartse verplaatsing naar de Vercel-productie |
De aanvaller heeft niet-gevoelige omgevingsvariabelen opgesomd (toegankelijk via dashboard/API) en klantreferenties verzameld. |
Auditlogboeken van het Vercel-platform; gedragsanalyse. |
Gematigd. Vercel ontdekte de inbraak nadat de aanvaller toegang had gekregen tot de inloggegevens van klanten. |
Detectie vond plaats na exfiltratie, niet ervoor. Env var-toegang door een gecompromitteerd Workspace-account veroorzaakte geen realtime waarschuwingen. |
Wat wordt bevestigd versus wat wordt beweerd
Het bulletin van Vercel bevestigt ongeautoriseerde toegang tot interne systemen, een beperkte subset van getroffen klanten en twee IOC’s die zijn gekoppeld aan de Google Workspace OAuth-apps van Context.ai. Rauch bevestigde dat de open-sourceprojecten van Next.js, Turbopack en Vercel onaangetast blijven.
Afzonderlijk een bedreigingsacteur die de naam ShinyHunters gebruikt geplaatst op BreachForums beweert de interne database van Vercel, werknemersaccounts en GitHub- en NPM-tokens te bezitten, met een vraagprijs van $ 2 miljoen. Austin Larsen, hoofddreigingsanalist bij Google Threat Intelligence, heeft eiseres beoordeeld als ‘waarschijnlijk een bedrieger’. Acteurs die eerder banden hadden met ShinyHunters hebben hun betrokkenheid ontkend. Geen van deze claims is onafhankelijk geverifieerd.
Zes bestuursfouten die door de Vercel-inbreuk aan het licht zijn gebracht
1. De OAuth-scopes van AI-tools worden niet gecontroleerd. In Context.ai’s eigen bulletin staat dat een medewerker van Vercel de machtiging ‘Alles toestaan’ heeft verleend met behulp van een bedrijfsaccount. De meeste beveiligingsteams hebben geen inventaris van de AI-tools waartoe hun medewerkers OAuth-toegang hebben verleend.
CrowdStrike CTO Elia Zaitsev zei het tijdens RSAC 2026 ronduit: “Geef een agent geen toegang tot alles alleen maar omdat je lui bent. Geef hem alleen toegang tot wat hij nodig heeft om de klus te klaren.” Jeff Pollard, VP en hoofdanalist bij Forrester, vertelde Cybersecurity Dive dat de aanval een herinnering is risicobeheerproblemen van derden en machtigingen voor AI-tools.
2. De classificatie van omgevingsvariabelen doet echt beveiligingswerk. Vercel maakt onderscheid tussen variabelen die zijn gemarkeerd als ‘gevoelig’ (opgeslagen op een manier die lezen verhindert) en variabelen zonder die aanduiding (toegankelijk in leesbare tekst via het dashboard en de API). Aanvallers gebruikten de toegankelijke variabelen als escalatiepad. Een handige schakelaar voor ontwikkelaars bepaalde de ontploffingsradius. Vercel heeft sindsdien de standaard gewijzigd: nieuwe omgevingsvariabelen zijn nu standaard ingesteld op gevoelig.
“Moderne controles worden geïmplementeerd, maar als oudere tokens of sleutels niet worden teruggetrokken, geeft het systeem daar stilletjes de voorkeur aan”, vertelde Merritt Baer, CSO bij Enkrypt AI en voormalig plaatsvervangend CISO bij AWS, aan VentureBeat.
3. Escalatieketens van Infostealer naar SaaS naar supply chain ontberen detectiedekking. Uit de rapportage van Hudson Rock blijkt dat er sprake is van een moordketen die vier organisatorische grenzen overschrijdt. Geen enkele detectielaag bedekt die keten. In het bijgewerkte bulletin van Context.ai werd erkend dat de reikwijdte verder reikte dan aanvankelijk werd vastgesteld tijdens het door CrowdStrike geleide onderzoek.
4. De verblijftijd tussen de detectie van de leverancier en de melding aan de klant overschrijdt de tijdlijnen van de aanvaller. Context.ai ontdekte het AWS-compromis in maart. Dat maakte Vercel zondag bekend. Elke CISO zou zijn leveranciers moeten vragen: wat is uw contractuele meldingstermijn na het detecteren van ongeoorloofde toegang die gevolgen kan hebben voor downstream-klanten?
5. AI-tools van derden zijn de nieuwe schaduw-IT. Het bulletin van Vercel beschrijft Context.ai als “een kleine AI-tool van derden.” Grip Security’s analyse van maart 2026 van de 23.000 SaaS-omgevingen constateerden een toename van 490% op jaarbasis in AI-gerelateerde aanvallen. Vercel is de nieuwste onderneming die dit op de harde manier leert.
6. AI-versnelde aanvallers comprimeren de reactietijdlijnen. Rauchs beoordeling van AI-versnelling komt voort uit wat zijn IR-team heeft waargenomen. CrowdStrike’s Global Threat Report 2026 gaat uit van een gemiddelde eCrime-uitbraaktijd van 29 minuten, 65% sneller dan in 2024.
Actieplan beveiligingsdirecteur
|
Aanvalsoppervlak |
Wat is mislukt |
Aanbevolen actie |
Eigenaar |
|
OAuth-beheer |
Context.ai beschikte over brede machtigingen voor de werkruimte “Alles toestaan”. Er is geen goedkeuringsworkflow onderschept. |
Inventariseer elke AI-tool die OAuth voor de hele organisatie verleent. Bereiken intrekken die de minste bevoegdheden overschrijden. Controleer nu beide Vercel IOC’s. |
Identiteit / IAM |
|
Env var-classificatie |
Variabelen die niet als ‘gevoelig’ waren gemarkeerd, bleven toegankelijk. Toegankelijkheid werd het escalatiepad. |
Standaard ingesteld op niet-leesbaar. Vereis een beveiligingsafmelding om een variabele te downgraden naar toegankelijk. |
Platform nl + beveiliging |
|
Infostealer-naar-toeleveringsketen |
Kill chain omvatte Lumma Stealer, Context.ai AWS, OAuth-tokens, Vercel Workspace en productieomgevingen. |
Correleer informatiefeeds van Infostealer met werknemersdomeinen. Automatiseer de rotatie van inloggegevens wanneer de inloggegevens in stealerlogboeken verschijnen. |
Bedreigingsinformatie + SOC |
|
Vertraging op het gebied van meldingen van leveranciers |
Bijna een maand tussen de detectie van Context.ai en de openbaarmaking van Vercel. |
Vereis 72-uurs notificatieclausules in alle contracten waarbij OAuth of identiteitsintegratie betrokken is. |
Risico van derden / juridisch |
|
Adoptie van schaduw-AI |
De niet-goedgekeurde AI-tool van één medewerker werd de inbreukvector voor honderden organisaties. |
Breid schaduw-IT-detectie uit naar AI-agentplatforms. Behandel niet-goedgekeurde adoptie als een beveiligingsgebeurtenis. |
Beveiligingsoperaties + inkoop |
|
Zijwaartse bewegingssnelheid |
Rauch vermoedt AI-versnelling. De aanvaller heeft het venster voor toegang tot escalatie gecomprimeerd. |
Verlaag de SLA’s van detectie tot inperking tot minder dan het eCrime-gemiddelde van 29 minuten. |
SOC + IR-team |
Voer vandaag beide IoC-controles uit
Zoek in uw Google Workspace-beheerdersconsole (Beveiliging > API-besturingselementen > App-toegang van derden beheren) naar twee OAuth-app-ID’s.
De eerste is 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com, gekoppeld aan Context.ai’s Office Suite.
De tweede is 110671459871-f3cq3okebd3jcg1lllmroqejdbka8cqq.apps.googleusercontent.com, gekoppeld aan de Chrome-extensie van Context.ai en geeft leestoegang tot Google Drive.
Als een van beide jouw omgeving heeft geraakt, bevindt je je in de explosieradius, ongeacht wat Vercel vervolgens onthult.
Wat dit betekent voor beveiligingsdirecteuren
Vergeet de merknaam Vercel even. Wat hier gebeurde is het eerste grote bewijs dat OAuth-integraties van AI-agenten een inbreukklasse creëren die de meeste bedrijfsbeveiligingsprogramma’s niet kunnen detecteren, reiken of bevatten. Een Roblox-cheatdownload in februari leidde in april tot toegang tot de productie-infrastructuur. Vier organisatiegrenzen, twee cloudproviders en één identiteitsperimeter. Geen zero-day vereist.
Bij de meeste ondernemingen hebben werknemers AI-tools gekoppeld aan zakelijke Google Workspace-, Microsoft 365- of Slack-instanties met brede OAuth-scopes – zonder dat de beveiligingsteams het weten. De Vercel-inbreuk is de casestudy voor hoe die blootstelling eruit ziet wanneer een aanvaller deze voor het eerst vindt.
