软件安全供应商Vercel披露，其在上周末因第三方AI工具供应商Context.ai遭入侵而被波及。攻击者并非直接攻击Vercel，而是利用了一名Vercel员工使用其公司Google Workspace账户注册Context AI Office Suite时授予的“允许所有”权限，窃取了相应的OAuth令牌，从而获得了对部分Vercel环境和未标记为“敏感”的环境变量的访问权限。Vercel评估攻击者具有高度的复杂性，体现在其操作速度和对其系统的深入了解。该公司已与Mandiant等安全公司合作进行事件响应。Vercel已联系了其凭证可能因此泄露的有限客户子集，建议他们立即更换凭证。Context.ai方面表示，其当前平台产品Context Bedrock未受影响。安全专家指出，此次事件凸显了OAuth令牌已成为新的攻击面和横向移动手段，而AI工具所需的广泛权限加剧了风险。企业应加强OAuth授权管理，并建立AI治理框架。