Pesan Berita Gate, 23 April — Vercel mengungkap pada 19 April bahwa insiden keamanannya, yang awalnya dijelaskan memengaruhi “sebagian terbatas pelanggan,” telah berkembang menjadi komunitas pengembang yang jauh lebih luas, khususnya mereka yang membangun alur kerja agen AI. Serangan tersebut dapat memengaruhi ratusan pengguna di beberapa organisasi, tidak terbatas hanya pada Vercel, tetapi berpotensi berdampak pada industri teknologi yang lebih luas.
Pelanggaran bermula ketika seorang karyawan Context.ai terinfeksi malware Lumma Stealer setelah mengunduh skrip Roblox Auto-farm dan alat eksploit game. Malware tersebut membobol kredensial login Google Workspace karyawan tersebut serta access key ke platform termasuk Supabase, Datadog, dan Authkit. Penyerang kemudian menggunakan token OAuth yang dicuri untuk mengakses akun Google Workspace Vercel, yang telah dibuat menggunakan akun perusahaan Vercel dengan izin “allow all”. Setelah masuk, penyerang mendekripsi variabel lingkungan yang tidak sensitif, meskipun data sensitif tetap terlindungi berkat perlindungan penyimpanan Vercel.
Pengembang AI menghadapi risiko yang lebih tinggi karena mereka umumnya menyimpan kredensial penting—seperti kunci API OpenAI atau Anthropic, string koneksi basis data vektor, rahasia webhook, dan token alat pihak ketiga—di variabel lingkungan tanpa secara manual menandainya sebagai sensitif. Kredensial ini tidak otomatis ditandai oleh sistem, sehingga rentan terhadap paparan.
Sebagai respons, Vercel memperbarui platformnya sehingga semua variabel lingkungan yang baru dibuat ditandai sebagai sensitif secara default. Tim keamanan perusahaan membagikan pengidentifikasi unik dari aplikasi OAuth yang dikompromikan, mendesak administrator Google Workspace untuk mengaudit log akses. Context.ai, dengan bantuan CTO Nudge Security Jaime Blasco, mendeteksi pemberian izin OAuth tambahan dengan akses Google Drive dan segera memberi tahu pelanggan yang terdampak dengan langkah-langkah perbaikan.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
Kota Inovasi Uni Emirat Arab Meluncurkan ID Berbasis Blockchain, Mendorong Perusahaan untuk Cek Seketika
Innovation City, zona bebas bertenaga AI di Ras Al Khaimah, telah meluncurkan sistem identitas bisnis digital berbasis blockchain untuk menggantikan izin bisnis tradisional dan statis dengan aset “hidup”, yang dapat diverifikasi secara kriptografis di rantai OPN.
Poin Penting:
Innovation City meluncurkan sebuah
Coinpedia18menit yang lalu
Penipu dengan sandi Morse berhasil mengelabui AI agent! Peretas membujuk Grok dan BankrBot untuk melakukan transfer, berhasil mengantongi 170 ribu dolar AS aset kripto
Platform X mengungkap kerentanan AI agent: penyerang mendapatkan hak transfer dari dompet Grok melalui Bankr Club NFT, lalu menggunakan perintah sandi Morse untuk memaksa BankrBot memindahkan sekitar 300 juta DRB tanpa persetujuan manusia, dengan nilai sekitar 17,5 ribu dolar AS. Masalahnya ada pada arsitektur BankrBot yang tidak menganggap keluaran AI sebagai otorisasi; dana sudah dipulihkan, dan pihak terkait akan memperkuat perlindungan seperti kunci API dan daftar putih IP.
ChainNewsAbmedia1jam yang lalu
Vercel Membuka Sumber Framework deepsec dengan 1.000+ Konkurensi Sandbox untuk Pemindaian Keamanan AI Lokal
Menurut Beating, Vercel telah merilis open-source deepsec, sebuah kerangka kerja pengujian keamanan yang digerakkan AI yang memungkinkan pengembang memindai basis kode berukuran besar secara lokal tanpa mengekspos kode sumber ke layanan cloud eksternal. Kerangka kerja ini menggunakan alur verifikasi multi-tahap: setelah penyaringan regex awal, sebuah
GateNews3jam yang lalu
Token AWP untuk Agent Work Protocol Melonjak Lebih dari 300% dalam 24 Jam; Subnet Peluncuran Ardinals Inscription
Berdasarkan data on-chain, token asli AWP dari Agent Work Protocol melonjak lebih dari 300% dalam 24 jam pada 4 Mei. AWP adalah protokol kerja untuk AI Agents, dengan peluncuran yang benar-benar adil 100% tanpa alokasi VC, cadangan tim, atau presale; semua token didistribusikan melalui emisi protokol. Protokol ini memiliki
GateNews14jam yang lalu
Haun Ventures Menutup Dana senilai $1 miliar pada 4 Mei, Membagi Modal antara Investasi Kripto Tahap Awal dan Tahap Akhir
Menurut Bloomberg, Haun Ventures menyelesaikan putaran penggalangan dana senilai 1 miliar dolar AS pada 4 Mei, dengan 500 juta dolar AS dialokasikan untuk investasi tahap awal dan 500 juta dolar AS untuk investasi tahap lanjut. Dana tersebut akan menyalurkan modal selama dua hingga tiga tahun ke depan, menargetkan startup kripto dan blockchain sambil memperluas
GateNews15jam yang lalu
Tiongkok Menghalangi Akuisisi AI Manus milik Meta US$2B
China mengumumkan bahwa mereka akan memblokir akuisisi Meta senilai 2 miliar dolar AS terhadap perusahaan AI agent Manus, dengan alasan kekhawatiran atas pemindahan kekayaan intelektual kecerdasan buatan Tiongkok ke perusahaan AS, menurut pemberitaan Tech in Asia.
Manus, perusahaan yang didirikan di Tiongkok dan memindahkan kantor pusatnya ke
CryptoFrontier05-04 02:12
