A Roblox cheat, a month of silence, and an enterprise OAuth breach: what the Vercel incident is really teaching

Dit is een machinevertaling van het originele Engelstalige document. In het geval van een conflict tussen deze vertaling en de originele Engelse versie, is de Engelse versie doorslaggevend. Lees de originele Engelse versie

Een Roblox-cheat, een maand stilte en een zakelijke OAuth-inbreuk: wat het Vercel-incident ons echt leert

2026-04-22 · Caiioo Team

Drie details van de Vercel-inbreuk zijn het waard om naar voren te halen. Geen daarvan is de hoofdtitel. Ze veranderen allemaal hoe u zou moeten denken over het installeren van AI-tools van derden.

Detail 1: De toeleveringsketen naar een Vercel-inbreuk begon met een Roblox-cheat

Het publieke verhaal van het Vercel-incident gaat als volgt: een Vercel-medewerker installeerde Context AI, verleende het brede Google Workspace-machtigingen, Context AI werd gecompromitteerd, het OAuth-token werd gekaapt, de aanvaller drong binnen bij Vercel.

Dat is het verhaal stroomafwaarts. Het verhaal stroomopwaarts is vreemder.

Volgens de analyse van Hudson Rock — inmiddels de consensus in de berichtgeving van Trend Micro, OX Security, Strapi en The Hacker News, en niet weerlegd door Vercel of Context AI op 22 april — was de oorspronkelijke vector een medewerker van Context AI wiens persoonlijke apparaat in februari 2026 werd gecompromitteerd. De inbreuk was Lumma Stealer, een kant-en-klare infostealer. Het leveringsmiddel was naar verluidt een gedownloade Roblox "auto-farm" game-exploit.

De stealer deed wat stealers doen. Het exfiltreerde de Google Workspace-inloggegevens en AWS-toegangscodes van de medewerker. Die inloggegevens werden het hefboompunt voor alles wat volgde: toegang tot de AWS-omgeving van Context AI, toegang tot de OAuth-tokenkluis die Context AI beheerde voor zijn consumentengebruikers, toegang tot het token dat een Vercel-medewerker had verleend voor hun zakelijke Google Workspace, en uiteindelijk toegang tot de interne omgevingen van Vercel en een subset van omgevingsvariabelen van klanten.

Eén Roblox-cheat, op de persoonlijke laptop van één medewerker, is de hoofdoorzaak van een zakelijke OAuth-toeleveringsketeninbreuk die Vercel beschrijft als mogelijk gevolgen hebbend voor "honderden gebruikers in vele organisaties".

De les is niet "Roblox is slecht". De les is dat in een SaaS-AI-architectuur het aanvalsoppervlak zich uitstrekt tot elk persoonlijk apparaat van elke medewerker bij elke leverancier in uw toeleveringsketen. U kunt een perfecte eindpuntbeveiliging hebben bij uw bedrijf, en toch gecompromitteerd worden omdat iemand twee leveranciers verderop het verkeerde bestand heeft gedownload.

Detail 2: Context AI wist het in maart. Ze stelden één klant op de hoogte.

Het eigen beveiligingsbulletin van Context AI, gepubliceerd op context.ai/security-update en bijgewerkt op 21 april 2026, onthult deze tijdlijn:

  • Maart 2026: Context AI detecteert ongeautoriseerde toegang tot de AWS-omgeving die hun verouderde AI Office Suite-product host. Ze schakelen CrowdStrike in voor forensisch onderzoek, stellen de getroffen omgeving buiten gebruik en stellen één geïdentificeerde getroffen klant op de hoogte.
  • Tussen maart en 19 april: OAuth-tokens van "sommige" van hun consumentengebruikers blijven gecompromitteerd. Er worden geen verdere gebruikersmeldingen gedaan. Geen publieke bekendmaking.
  • 19 april 2026: Vercel publiceert zijn beveiligingsincidentbulletin, nadat ze de inbreuk onafhankelijk hebben herleid naar Context AI via hun eigen forensisch onderzoek.
  • 21 april 2026: Context AI werkt zijn bulletin bij met aanvullende richtlijnen voor gebruikers. Geen toegezegde tijdlijn voor het informeren van de overige getroffen consumentengebruikers.
  • 22 april 2026 (op het moment van schrijven): Nog steeds geen tijdlijn voor meldingen. De mensen wiens tokens in februari werden gecompromitteerd, weten nog steeds niet wanneer, of dat, ze het te horen krijgen.

Dit is het deel dat de manier waarop technische teams denken over het installeren van AI-tools van derden zou moeten veranderen. De inbreukdetectie bij de leverancier is niet hetzelfde als de bekendmaking aan u.

Er is in veel gevallen geen contractuele of wettelijke verplichting voor de leverancier om u te vertellen dat hun dienst is gecompromitteerd, zelfs niet wanneer de inbreuk de OAuth-tokens omvatte die u hen hebt overhandigd. U kunt aan uw kant alles goed doen — machtigingen met de minste privileges waar mogelijk, MFA, voorwaardelijke toegang, beveiligingsbewustzijnstraining — en toch maandenlang op de klok van de aanvaller werken, omdat de enige partij die in de positie is om u te waarschuwen de partij is die nog niets wil zeggen.

Detail 3: De eigen productsplitsing van Context AI bevestigt welke architectuur overleeft

Verborgen in hetzelfde Context AI-bulletin staat een enkele clausule die zwaarder weegt dan de rest van het document bij elkaar.

Het getroffen product was de AI Office Suite — het verouderde consumentenproduct van Context AI. Hun huidige zakelijke product, Bedrock, bleef onaangetast. De door Context AI zelf opgegeven reden: Bedrock "draait in de omgevingen van de klant."

Hetzelfde bedrijf, met hetzelfde engineeringteam, bouwde twee producten met twee verschillende architecturen. De SaaS-tussenpersoon — degene die OAuth-tokens namens de klant vasthield in een gecentraliseerde cloud — was degene die werd gelekt. Degene die in de omgeving van de klant draait — degene die de AI naast de gegevens plaatste in plaats van de gegevens naast de AI — overleefde. Niet omdat de beveiligingstechniek beter was, maar omdat er geen gecentraliseerde kluis was die de aanvallers konden bereiken.

U hoeft Caiioo niet op zijn woord te geloven dat gecentraliseerde SaaS-AI een structureel probleem heeft. De eigen productlijn van Context AI bevestigt dit.

Wat dit betekent voor iedereen die AI-tools evalueert

De algemene structurele les binnen de beveiligingsgemeenschap — Trend Micro, Varonis, Halborn, OX Security, Strapi — is dat brede "Allow All" OAuth-scopes de boosdoener zijn. Eenmaal uitgegeven, omzeilen deze tokens MFA en voorwaardelijke toegang. Een inbreuk bij de leverancier wordt een inbreuk op elk onderliggend account.

Drie belangrijke lessen volgen hieruit:

  1. Geef de voorkeur aan scopes met de minste privileges waar de leverancier deze aanbiedt. Als een AI-tool vraagt om lees- en schrijftoegang tot je volledige Google Workspace voor een agenda-functie, dan is die vraag een alarmsignaal.
  2. Geef de voorkeur aan leveranciers wiens architectuur helemaal geen langdurige gecentraliseerde tokens vereist. Dit is de structurele oplossing. Bring Your Own Auth (BYOA)-modellen, waarbij de OAuth-client in je eigen cloudproject wordt geconfigureerd en de tokens op je apparaat blijven, halen de leverancier volledig uit de vertrouwensketen.
  3. Vertrouw niet op meldingen van de leverancier als vroegtijdig waarschuwingssysteem. De tijdlijn van Context AI — detectie in maart, melding aan één klant, update van het bulletin op 21 april zonder toezegging voor bredere gebruikersmelding — is geen uitzondering. Het is wat de economie van incidentmeldingen produceert bij afwezigheid van strikte wettelijke verplichtingen. Je controles moeten ervan uitgaan dat de leverancier je niet op tijd zal informeren.

Hoe Caiioo hieromheen is gebouwd

Caiioo is een krachtige, privacy-eerst werkruimte met een agent-orchestrator en chatinterface die in een zijpaneel draait. De architectuur is gebouwd rond hetzelfde inzicht dat de productsplitsing van Context AI per ongeluk bevestigt: de werkruimte moet naast uw gegevens draaien, niet uw gegevens naast zich houden.

De korte versie: uw Workspace OAuth-tokens worden versleuteld op uw apparaat opgeslagen, niet in een caiioo-database. Uw Gmail/Agenda/Drive API-aanroepen gaan rechtstreeks van uw apparaat naar Google, waarbij onze infrastructuur nooit in het gegevenspad zit. De relay die we wel beheren — voor coördinatie tussen apparaten, OAuth-uitwisselingen en licentie-/facturatieverkeer — is gebouwd op Cloudflare Durable Objects per gebruiker (elke gebruiker is hardwarematig geïsoleerd van elke andere gebruiker) en gebruikt end-to-end versleuteling op de WebSocket-berichtenbus (we kunnen berichten routeren maar niet lezen). Onze centrale database slaat accountidentiteit, facturatiestatus en routeringsmetadata op — niet uw inhoud, niet uw Workspace-tokens, niet uw gesprekken. De volledige technische uitsplitsing, inclusief een verkeerstabel die u zelf kunt verifiëren met Little Snitch of Wireshark, staat in onze begeleidende post over de architecturale reactie op deze inbreuk.

Dat betekent dat een incident in de stijl van Context AI tegen Caiioo geen nasleep in de stijl van Context AI zou kunnen veroorzaken. Er zou geen gedumpte tokenkluis zijn, want er is geen tokenkluis. Er zou geen stille maand zijn waarin we beslissen wanneer we het de gebruikers vertellen, want er zou niets in onze infrastructuur zijn dat een aanvaller van een gebruiker zou kunnen stelen. Het probleem dat de detectie door de leverancier niet uw bekendmaking is, verdwijnt wanneer de leverancier in de eerste plaats niets van u in handen heeft.

Probeer Caiioo

Caiioo is beschikbaar als browserextensie, native macOS-app, native iOS-app, native Android-app en desktop-app voor Windows en Linux. Ga gratis aan de slag.

Bronnen: