رسالة Gate News ، 23 أبريل — كشفت Vercel في 19 أبريل أن حادثة أمنية لديها، التي وُصفت في البداية بأنها تؤثر على “فئة محدودة من العملاء”، قد توسعت لتشمل مجتمعًا أوسع بكثير من المطورين، ولا سيما أولئك الذين يبنون سير عمل وكلاء الذكاء الاصطناعي. قد يؤثر الهجوم في مئات المستخدمين عبر عدة مؤسسات، وليس مقتصرًا على Vercel وحدها، بل قد يؤثر أيضًا في قطاع التكنولوجيا الأوسع.
نشأ الاختراق عندما أُصيبت موظفة في Context.ai ببرمجية Lumma Stealer الخبيثة بعد تنزيل برنامج نصي لـ Roblox Auto-farm وأدوات استغلال للعبة. استولت البرمجية الخبيثة على بيانات اعتماد تسجيل الدخول إلى Google Workspace الخاصة بالموظفة ومفاتيح الوصول إلى منصات تشمل Supabase وDatadog وAuthkit. ثم استخدم المهاجم رمز OAuth مسروقًا للوصول إلى حساب Google Workspace الخاص بـ Vercel، والذي تم إنشاؤه باستخدام حساب مؤسسة (enterprise) في Vercel مع أذونات “allow all”. وبمجرد دخوله، قام المهاجم بفك تشفير متغيرات البيئة غير الحساسة، بينما ظلت البيانات الحساسة محمية بسبب ضوابط تخزين Vercel.
يواجه مطورو الذكاء الاصطناعي مخاطر مرتفعة لأنهم غالبًا ما يقومون بتخزين بيانات اعتماد حاسمة—مثل مفاتيح واجهة برمجة التطبيقات (API) الخاصة بـ OpenAI أو Anthropic، وسلاسل الاتصال لقاعدة بيانات المتجهات، وأسرار webhooks، ورموز أدوات الجهات الخارجية—داخل متغيرات البيئة دون وضع علامة عليها يدويًا على أنها حساسة. لا تقوم المنظومة بوضع علامات على هذه بيانات الاعتماد تلقائيًا، ما يجعلها عرضة للانكشاف.
استجابةً لذلك، قامت Vercel بتحديث منصتها بحيث يتم وسم جميع متغيرات البيئة التي يتم إنشاؤها حديثًا على أنها حساسة افتراضيًا. شارك فريق الأمن في الشركة المعرّف الفريد لتطبيق OAuth المخترَف، داعيًا مسؤولي Google Workspace إلى تدقيق سجلات الوصول. واكتشفت Context.ai، بمساعدة كبير مسؤولي التكنولوجيا (CTO) في Nudge Security Jaime Blasco، منح إذن OAuth إضافي مع وصول إلى Google Drive، وقامت فورًا بإبلاغ العملاء المتأثرين بخطوات المعالجة.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
تُسرّع OpenAI هاتف وكلاء الذكاء الاصطناعي حتى النصف الأول من 2027، وMediaTek تؤمّن صفقة معالج حصرية
وبحسب أحدث مسحٍ صناعي للمحلل مينغ-تشي كو، فإن شركة OpenAI تُسرّع تطوير أول هاتف لها بعامل ذكاء اصطناعي، وتسعى إلى بدء الإنتاج على نطاق واسع في وقت مبكر من الربع الأول 2027. ومن المرجح الآن أن تتمكن MediaTek من تأمين طلب معالج حصري، على أن يكون المعالج مبنيًا على نسخة مخصصة من
GateNewsمنذ 3 س
هاكر يخدع وكلاء الذكاء الاصطناعي عبر تشفير مورز! قام مجرمو الإنترنت بإيقاع Grok وBankrBot في تحويلات، واستولوا على ما يعادل 170 ألف دولار من العملات المشفرة
منصة X تكشف ثغرة في وكلاء الذكاء الاصطناعي: يستغل المهاجمون ثغرة عبر الحصول على صلاحية تحويلات محفظة Grok من خلال Bankr Club NFT، ثم يستخدمون أوامر في صيغة شيفرة مورس لإجبار BankrBot على تحويل نحو 300 مليون DRB دون مراجعة من البشر، بقيمة سوقية تقارب 175,000 دولار. تكمن المشكلة في أن بنية BankrBot لم تعتبر مخرجات الذكاء الاصطناعي كإذن، وقد تم استرداد الأموال، وسيتم تعزيز إجراءات الحماية مثل مفاتيح API والقوائم البيضاء للـ IP.
ChainNewsAbmediaمنذ 5 س
