A Roblox cheat, a month of silence, and an enterprise OAuth breach: what the Vercel incident is really teaching

Dies ist eine maschinelle Übersetzung des englischen Originaldokuments. Im Falle von Widersprüchen zwischen dieser Übersetzung und der englischen Originalversion ist die englische Version maßgeblich. Englische Originalversion lesen

Ein Roblox-Cheat, ein Monat Schweigen und eine Enterprise-OAuth-Sicherheitslücke: Was der Vercel-Vorfall wirklich lehrt

2026-04-22 · Caiioo Team

Drei Details aus dem Vercel-Einbruch sind es wert, hervorgehoben zu werden. Keines davon ist die Hauptschlagzeile. Alle verändern die Art und Weise, wie Sie über die Installation von KI-Tools von Drittanbietern denken sollten.

Detail 1: Die Lieferkette zum Vercel-Einbruch begann mit einem Roblox-Cheat

Die öffentliche Darstellung des Vercel-Vorfalls lautet so: Ein Vercel-Mitarbeiter installierte Context AI, gewährte weitreichende Google Workspace-Berechtigungen, Context AI wurde gehackt, das OAuth-Token wurde entwendet, der Angreifer drang bei Vercel ein.

Das ist die nachgelagerte Geschichte. Die vorgelagerte Geschichte ist seltsamer.

Laut der Analyse von Hudson Rock – die inzwischen von Trend Micro, OX Security, Strapi und The Hacker News bestätigt und von weder Vercel noch Context AI bis zum 22. April bestritten wurde – war der ursprüngliche Vektor ein Mitarbeiter von Context AI, dessen privates Gerät im Februar 2026 kompromittiert wurde. Die Kompromittierung erfolgte durch Lumma Stealer, einen handelsüblichen Infostealer. Das Liefervehikel war Berichten zufolge ein heruntergeladener Roblox-„Auto-Farm“-Game-Exploit.

Der Stealer tat, was Stealer tun. Er exfiltrierte die Google Workspace- und AWS-Zugangsdaten des Mitarbeiters. Diese Anmeldedaten wurden zum Hebelpunkt für alles Nachfolgende: Zugriff auf die AWS-Umgebung von Context AI, Zugriff auf den OAuth-Token-Tresor, den Context AI im Namen seiner Nutzer verwaltete, Zugriff auf das Token, das ein Vercel-Mitarbeiter für seinen geschäftlichen Google Workspace gewährt hatte, und schließlich Zugriff auf die internen Umgebungen von Vercel und eine Untergruppe von Kunden-Umgebungsvariablen.

Ein Roblox-Cheat auf dem privaten Laptop eines Mitarbeiters ist die Ursache für eine Enterprise-OAuth-Lieferketten-Sicherheitslücke, die Vercel als potenziell „Hunderte von Nutzern in vielen Organisationen“ betreffend beschreibt.

Die Lektion lautet nicht „Roblox ist schlecht“. Die Lektion ist, dass in einer SaaS-KI-Architektur die Angriffsfläche bis auf jedes private Gerät jedes Mitarbeiters bei jedem Anbieter in Ihrer Lieferkette reicht. Sie können eine perfekte Endpunkthygiene in Ihrem Unternehmen haben und dennoch kompromittiert werden, weil jemand zwei Anbieter weiter die falsche Datei heruntergeladen hat.

Detail 2: Context AI wusste es im März. Sie benachrichtigten einen Kunden.

Das eigene Sicherheitsbulletin von Context AI, veröffentlicht unter context.ai/security-update und aktualisiert am 21. April 2026, legt diesen Zeitplan offen:

  • März 2026: Context AI erkennt unbefugten Zugriff auf die AWS-Umgebung, in der ihr veraltetes Produkt „AI Office Suite“ gehostet wird. Sie beauftragen CrowdStrike mit der Forensik, legen die betroffene Umgebung still und benachrichtigen einen identifizierten betroffenen Kunden.
  • Zwischen März und 19. April: OAuth-Token, die „einigen“ ihrer Endnutzer gehören, bleiben kompromittiert. Es erfolgen keine weiteren Nutzerbenachrichtigungen. Keine öffentliche Bekanntgabe.
  • 19. April 2026: Vercel veröffentlicht sein Sicherheitsbulletin, nachdem sie die Kompromittierung durch eigene Forensik unabhängig bis zu Context AI zurückverfolgt haben.
  • 21. April 2026: Context AI aktualisiert sein Bulletin mit zusätzlichen Hinweisen für Nutzer. Kein verbindlicher Zeitplan für die Benachrichtigung der verbleibenden betroffenen Endnutzer.
  • 22. April 2026 (Stand heute): Immer noch kein Zeitplan für Benachrichtigungen. Die Personen, deren Token im Februar kompromittiert wurden, wissen immer noch nicht, wann oder ob sie informiert werden.

Dies ist der Teil, der die Denkweise technischer Teams über die Installation von KI-Tools von Drittanbietern ändern sollte. Die Erkennung einer Sicherheitslücke beim Anbieter ist nicht dasselbe wie die Offenlegung gegenüber Ihnen.

In vielen Fällen gibt es keine vertragliche oder regulatorische Verpflichtung für den Anbieter, Ihnen mitzuteilen, dass sein Dienst kompromittiert wurde, selbst wenn die Kompromittierung die OAuth-Token einschloss, die Sie ihm übergeben haben. Sie können auf Ihrer Seite alles richtig machen – minimale Berechtigungen, MFA, bedingter Zugriff, Sicherheitsschulungen – und operieren dennoch monatlich nach dem Zeitplan des Angreifers, weil die einzige Partei, die Sie warnen könnte, diejenige ist, die noch nichts sagen möchte.

Detail 3: Die eigene Produktaufteilung von Context AI bestätigt, welche Architektur überlebt

Versteckt im selben Context AI-Bulletin findet sich ein einzelner Halbsatz, der mehr Gewicht hat als der Rest des Dokuments zusammen.

Das betroffene Produkt war die AI Office Suite – das eingestellte Consumer-Produkt von Context AI. Ihr aktuelles Enterprise-Produkt, Bedrock, war nicht betroffen. Der von Context AI selbst genannte Grund: Bedrock „läuft in Kundenumgebungen“.

Dasselbe Unternehmen hat mit demselben Engineering-Team zwei Produkte mit zwei unterschiedlichen Architekturen gebaut. Das SaaS-Middleman-Produkt – dasjenige, das OAuth-Token im Namen des Kunden in einer zentralisierten Cloud hielt – war dasjenige, das gehackt wurde. Das in der Kundenumgebung laufende Produkt – dasjenige, das die KI zu den Daten brachte, anstatt die Daten zur KI – überlebte. Nicht, weil es ein besseres Security-Engineering hatte, sondern weil es keinen zentralisierten Tresor gab, den die Angreifer erreichen konnten.

Sie müssen Caiioo nicht beim Wort nehmen, dass zentralisierte SaaS-KI ein strukturelles Problem hat. Die eigene Produktlinie von Context AI bestätigt dies.

Was das für jeden bedeutet, der KI-Tools bewertet

Die übereinstimmende strukturelle Lektion der Sicherheitsforschungsgemeinschaft – Trend Micro, Varonis, Halborn, OX Security, Strapi – ist, dass weitreichende „Alles erlauben“-OAuth-Berechtigungen der Ermöglicher sind. Einmal ausgestellt, umgehen diese Token MFA und bedingten Zugriff. Eine Kompromittierung beim Anbieter wird zu einer Kompromittierung jedes nachgelagerten Kontos.

Daraus ergeben sich drei Erkenntnisse:

  1. Bevorzugen Sie minimale Berechtigungen, wo der Anbieter sie anbietet. Wenn ein KI-Tool Lese- und Schreibzugriff auf Ihren gesamten Google Workspace verlangt, um eine Kalenderfunktion auszuführen, ist die Anforderung ein Warnsignal.
  2. Bevorzugen Sie Anbieter, deren Architektur gar keine langlebigen zentralen Token erfordert. Dies ist der strukturelle Schritt. „Bring Your Own Auth“ (BYOA)-Modelle, bei denen der OAuth-Client in Ihrem eigenen Cloud-Projekt bereitgestellt wird und die Token auf Ihrem Gerät bleiben, entfernen den Anbieter vollständig aus der Vertrauenskette.
  3. Verlassen Sie sich nicht auf die Offenlegung durch den Anbieter als Frühwarnsystem. Der Zeitplan von Context AI – Erkennung im März, Benachrichtigung eines Kunden, Bulletin-Update am 21. April ohne Zusage für eine breitere Nutzerbenachrichtigung – ist kein Ausreißer. Es ist das, was die Ökonomie der Offenlegung von Vorfällen in Ermangelung strenger gesetzlicher Verpflichtungen hervorbringt. Ihre Kontrollen müssen davon ausgehen, dass der Anbieter Sie nicht rechtzeitig informieren wird.

Wie Caiioo darauf aufgebaut ist

Caiioo ist ein leistungsstarker, datenschutzorientierter Arbeitsbereich mit einem agentischen Orchestrator und einer Chat-Oberfläche, die in einer Seitenleiste läuft. Die Architektur basiert auf derselben Erkenntnis, die die Produktaufteilung von Context AI versehentlich bestätigt: Der Arbeitsbereich sollte neben Ihren Daten laufen, nicht Ihre Daten neben sich halten.

Die Kurzfassung: Ihre Workspace-OAuth-Token werden verschlüsselt auf Ihrem Gerät gespeichert, nicht in einer Caiioo-Datenbank. Ihre Gmail/Kalender/Drive-API-Aufrufe gehen von Ihrem Gerät direkt zu Google, wobei unsere Infrastruktur niemals im Datenpfad liegt. Das Relay, das wir betreiben – für die Koordination zwischen Geräten, OAuth-Austausch und Lizenz-/Abrechnungsverkehr – basiert auf benutzerspezifischen Cloudflare Durable Objects (jeder Benutzer ist hardwareseitig von jedem anderen isoliert) und verwendet eine Ende-zu-Ende-Verschlüsselung auf seinem WebSocket-Nachrichtenbus (wir können Nachrichten weiterleiten, aber nicht lesen). Unsere zentrale Datenbank speichert Konto-Identität, Abrechnungsstatus und Routing-Metadaten – nicht Ihre Inhalte, nicht Ihre Workspace-Token, nicht Ihre Konversationen. Die vollständige technische Aufschlüsselung, einschließlich einer Verkehrstabelle, die Sie selbst mit Little Snitch oder Wireshark überprüfen können, finden Sie in unserem Begleitpost zur architektonischen Reaktion auf diese Sicherheitslücke.

Das bedeutet, dass ein Vorfall im Stil von Context AI gegen Caiioo keine Folgen im Stil von Context AI haben könnte. Es gäbe keinen Tresor mit Token, der geleert werden könnte, weil es keinen Token-Tresor gibt. Es gäbe keinen stillen Monat, in dem wir entscheiden müssten, wann wir es den Nutzern sagen, weil es in unserer Infrastruktur nichts gäbe, was ein Angreifer einem Nutzer wegnehmen könnte. Das Problem „Anbieter-Erkennung ist nicht Ihre Offenlegung“ verschwindet, wenn der Anbieter von vornherein nichts von Ihnen besitzt.

Caiioo ausprobieren

Caiioo ist als Browser-Erweiterung, native macOS-App, native iOS-App, native Android-App sowie Desktop-App für Windows und Linux verfügbar. Kostenlos starten.

Quellen: