A Roblox cheat, a month of silence, and an enterprise OAuth breach: what the Vercel incident is really teaching

Ceci est une traduction automatique du document original en anglais. En cas de divergence entre cette traduction et la version originale anglaise, la version anglaise fera foi. Consulter la version originale en anglais

Un cheat Roblox, un mois de silence et une faille OAuth d'entreprise : ce que l'incident Vercel enseigne réellement

2026-04-22 · Caiioo Team

Trois détails de la faille Vercel méritent d'être mis en avant. Aucun d'entre eux n'est le titre principal. Tous changent la façon dont vous devriez envisager l'installation d'outils d'IA tiers.

Détail 1 : La chaîne d'approvisionnement de la faille Vercel a commencé par un cheat Roblox

Le récit public de l'incident Vercel se déroule ainsi : un employé de Vercel a installé Context AI, lui a accordé des portées Google Workspace étendues, Context AI a été compromis, le jeton OAuth a été détourné, l'attaquant a pivoté vers Vercel.

C'est l'histoire en aval. L'histoire en amont est plus étrange.

Selon l'analyse de Hudson Rock — désormais confirmée par les rapports de Trend Micro, OX Security, Strapi et The Hacker News, et non réfutée par Vercel ou Context AI au 22 avril — le vecteur original était un employé de Context AI dont l'appareil personnel a été compromis en février 2026. La compromission était Lumma Stealer, un infostealer prêt à l'emploi. Le véhicule de diffusion, selon les rapports, était un exploit de jeu Roblox « auto-farm » téléchargé.

Le voleur a fait ce que les voleurs font. Il a exfiltré les identifiants Google Workspace et les identifiants d'accès AWS de l'employé. Ces identifiants sont devenus le point de levier pour tout ce qui a suivi : accès à l'environnement AWS de Context AI, accès au coffre-fort de jetons OAuth que Context AI détenait pour le compte de ses utilisateurs, accès au jeton qu'un employé de Vercel avait accordé pour son Google Workspace d'entreprise, et finalement accès aux environnements internes de Vercel et à un sous-ensemble de variables d'environnement client.

Un seul cheat Roblox, sur l'ordinateur portable personnel d'un employé, est la cause profonde d'une faille de la chaîne d'approvisionnement OAuth d'entreprise que Vercel décrit comme affectant potentiellement des « centaines d'utilisateurs dans de nombreuses organisations ».

La leçon n'est pas « Roblox est mauvais ». La leçon est que dans une architecture SaaS-AI, la surface d'attaque s'étend à l'appareil personnel de chaque employé de chaque fournisseur de votre chaîne d'approvisionnement. Vous pouvez avoir une hygiène parfaite des terminaux dans votre entreprise et être tout de même compromis parce que quelqu'un chez un fournisseur situé à deux niveaux de distance a téléchargé le mauvais fichier.

Détail 2 : Context AI savait en mars. Ils ont informé un seul client.

Le propre bulletin de sécurité de Context AI, publié sur context.ai/security-update et mis à jour le 21 avril 2026, révèle ce calendrier :

  • Mars 2026 : Context AI détecte un accès non autorisé à l'environnement AWS hébergeant leur produit obsolète AI Office Suite. Ils font appel à CrowdStrike pour l'expertise judiciaire, désactivent l'environnement concerné et informent un seul client identifié comme impacté.
  • Entre mars et le 19 avril : Les jetons OAuth appartenant à « certains » de leurs utilisateurs grand public restent compromis. Aucune autre notification d'utilisateur n'est effectuée. Aucune divulgation publique.
  • 19 avril 2026 : Vercel publie son bulletin d'incident de sécurité, ayant retracé indépendamment la compromission jusqu'à Context AI grâce à sa propre expertise judiciaire.
  • 21 avril 2026 : Context AI met à jour son bulletin avec des conseils supplémentaires pour les utilisateurs. Aucun calendrier n'est engagé pour informer les autres utilisateurs grand public impactés.
  • 22 avril 2026 (à l'heure où nous écrivons ces lignes) : Toujours aucun calendrier de notification. Les personnes dont les jetons ont été compromis en février ne savent toujours pas quand, ni si, elles seront informées.

C'est la partie qui devrait changer la façon dont les équipes techniques envisagent l'installation d'outils d'IA tiers. La détection d'une faille chez le fournisseur n'est pas la même chose que la divulgation à votre égard.

Dans de nombreux cas, il n'y a aucune obligation contractuelle ou réglementaire pour le fournisseur de vous dire que son service a été compromis, même lorsque la compromission inclut les jetons OAuth que vous lui avez remis. Vous pouvez tout faire correctement de votre côté — portées de moindre privilège, MFA, accès conditionnel, formation à la sécurité — et tout de même fonctionner selon le calendrier de l'attaquant pendant des mois, car la seule partie en position de vous avertir est celle qui ne veut encore rien dire.

Détail 3 : La propre division des produits de Context AI confirme quelle architecture survit

Nichée dans le même bulletin de Context AI se trouve une seule clause qui a plus de poids que tout le reste du document réuni.

Le produit compromis était l'AI Office Suite — le produit grand public obsolète de Context AI. Leur produit d'entreprise actuel, Bedrock, n'a pas été affecté. La raison invoquée par Context AI : Bedrock « s'exécute dans les environnements clients ».

La même entreprise, avec la même équipe d'ingénieurs, a construit deux produits avec deux architectures différentes. Celui de l'intermédiaire SaaS — celui qui détenait les jetons OAuth pour le compte du client dans un cloud centralisé — est celui qui a été piraté. Celui qui s'exécute dans l'environnement client — celui qui a placé l'IA à côté des données au lieu des données à côté de l'IA — a survécu. Non pas parce qu'il avait une meilleure ingénierie de sécurité, mais parce qu'il n'y avait pas de coffre-fort centralisé à atteindre pour les attaquants.

Vous n'avez pas à croire Caiioo sur parole quand nous disons que l'IA SaaS centralisée a un problème structurel. La propre gamme de produits de Context AI le confirme.

Ce que cela signifie pour quiconque évalue des outils d'IA

La leçon structurelle consensuelle au sein de la communauté de recherche en sécurité — Trend Micro, Varonis, Halborn, OX Security, Strapi — est que les portées OAuth larges « Tout autoriser » sont le facilitateur. Une fois émis, ces jetons contournent le MFA et l'accès conditionnel. Une compromission chez le fournisseur devient une compromission de chaque compte en aval.

Trois conclusions en découlent :

  1. Privilégiez les portées de moindre privilège lorsque le fournisseur les propose. Si un outil d'IA demande un accès en lecture-écriture à l'ensemble de votre Google Workspace pour une fonctionnalité de calendrier, la demande est un signal d'alarme.
  2. Privilégiez les fournisseurs dont l'architecture ne nécessite pas du tout de jetons centralisés de longue durée. C'est le changement structurel. Les modèles « Bring Your Own Auth » (BYOA), où le client OAuth est provisionné dans votre propre projet cloud et où les jetons restent sur votre appareil, retirent entièrement le fournisseur de la chaîne de confiance.
  3. Ne comptez pas sur la divulgation du fournisseur comme système d'alerte précoce. Le calendrier de Context AI — détection en mars, notification d'un seul client, mise à jour du bulletin le 21 avril sans engagement de notification plus large — n'est pas une exception. C'est ce que produit l'économie de la divulgation d'incidents en l'absence d'obligations légales strictes. Vos contrôles doivent supposer que le fournisseur ne vous informera pas à temps.

Comment Caiioo est construit autour de cela

Caiioo est un espace de travail puissant et respectueux de la vie privée, doté d'un orchestrateur d'agents et d'une interface de chat qui s'exécute dans un panneau latéral. L'architecture est construite autour de la même intuition que la division des produits de Context AI confirme accidentellement : l'espace de travail doit s'exécuter à côté de vos données, et non détenir vos données à côté de lui.

En résumé : vos jetons OAuth Workspace sont stockés de manière chiffrée sur votre appareil, et non dans une base de données Caiioo. Vos appels API Gmail/Calendar/Drive vont de votre appareil directement à Google, sans que notre infrastructure ne soit jamais sur le chemin des données. Le relais que nous exploitons — pour la coordination entre appareils, les échanges OAuth et le trafic de licence/facturation — est basé sur des Durable Objects Cloudflare par utilisateur (chaque utilisateur est isolé matériellement de tous les autres) et utilise un chiffrement de bout en bout sur son bus de messages WebSocket (nous pouvons router les messages mais nous ne pouvons pas les lire). Notre base de données centrale stocke l'identité du compte, l'état de facturation et les métadonnées de routage — pas votre contenu, ni vos jetons Workspace, ni vos conversations. L'analyse technique complète, y compris un tableau de trafic que vous pouvez vérifier vous-même avec Little Snitch ou Wireshark, se trouve dans notre article complémentaire sur la réponse architecturale à cette faille.

Cela signifie qu'un incident de type Context AI contre Caiioo ne pourrait pas produire les mêmes conséquences. Il n'y aurait pas de coffre-fort de jetons vidé, car il n'y a pas de coffre-fort de jetons. Il n'y aurait pas de mois de silence pour décider quand informer les utilisateurs, car il n'y aurait rien dans notre infrastructure qu'un attaquant pourrait prendre à un utilisateur. Le problème de la divulgation tardive par le fournisseur disparaît lorsque le fournisseur n'a rien à vous appartenant en sa possession.

Essayer Caiioo

Caiioo est disponible en tant qu'extension de navigateur, application native macOS, application native iOS, application native Android et application de bureau pour Windows et Linux. Commencer gratuitement.

Sources :