A Roblox cheat, a month of silence, and an enterprise OAuth breach: what the Vercel incident is really teaching

Данный документ является машинным переводом оригинальной английской версии. В случае любых расхождений между переводом и оригиналом на английском языке, приоритет имеет английская версия. Читать оригинал на английском языке

Чит для Roblox, месяц молчания и корпоративный взлом OAuth: чему на самом деле учит инцидент с Vercel

2026-04-22 · Caiioo Team

Три детали взлома Vercel заслуживают особого внимания. Ни одна из них не является главным заголовком. Но все они меняют представление о том, как следует подходить к установке сторонних ИИ-инструментов.

Деталь 1: Цепочка поставок для взлома Vercel началась с чита для Roblox

Публичная история инцидента с Vercel выглядит так: сотрудник Vercel установил Context AI, предоставил ему широкие права Google Workspace, Context AI был взломан, OAuth-токен перехвачен, злоумышленник проник в Vercel.

Это история последствий. Предыстория гораздо страннее.

Согласно анализу Hudson Rock — который теперь подтвержден отчетами Trend Micro, OX Security, Strapi и The Hacker News и не опровергнут ни Vercel, ни Context AI по состоянию на 22 апреля — первоначальным вектором стал сотрудник Context AI, чье личное устройство было скомпрометировано в феврале 2026 года. Компрометация произошла через Lumma Stealer, готовый инфостилер. Средством доставки, как сообщается, был скачанный эксплойт «auto-farm» для игры Roblox.

Стилер сделал то, что делают стилеры. Он похитил учетные данные сотрудника Google Workspace и учетные данные доступа AWS. Эти данные стали рычагом для всего остального: доступа к среде AWS Context AI, доступа к хранилищу OAuth-токенов, которые Context AI хранила от имени своих пользователей, доступа к токену, который сотрудник Vercel предоставил для своего корпоративного Google Workspace, и, в конечном итоге, доступа к внутренним средам Vercel и подмножеству переменных среды клиентов.

Один чит для Roblox на личном ноутбуке одного сотрудника стал первопричиной взлома цепочки поставок корпоративных OAuth, который Vercel описывает как потенциально затронувший «сотни пользователей во многих организациях».

Урок не в том, что «Roblox — это плохо». Урок в том, что в архитектуре SaaS-AI поверхность атаки распространяется на личное устройство каждого сотрудника каждого вендора в вашей цепочке поставок. У вас в компании может быть идеальная гигиена конечных точек, и вы всё равно можете быть скомпрометированы, потому что кто-то через два вендора от вас скачал не тот файл.

Деталь 2: Context AI узнала в марте. Они уведомили одного клиента.

Собственный бюллетень безопасности Context AI, опубликованный на context.ai/security-update и обновленный 21 апреля 2026 года, раскрывает следующую хронологию:

  • Март 2026 г.: Context AI обнаруживает несанкционированный доступ к среде AWS, в которой размещен их устаревший продукт AI Office Suite. Они привлекают CrowdStrike для криминалистической экспертизы, выводят из эксплуатации затронутую среду и уведомляют одного выявленного пострадавшего клиента.
  • Между мартом и 19 апреля: OAuth-токены, принадлежащие «некоторым» их пользователям, остаются скомпрометированными. Дальнейшие уведомления пользователей не производятся. Публичного раскрытия информации нет.
  • 19 апреля 2026 г.: Vercel публикует свой бюллетень об инциденте безопасности, самостоятельно отследив компрометацию до Context AI в ходе собственной экспертизы.
  • 21 апреля 2026 г.: Context AI обновляет свой бюллетень дополнительными рекомендациями для пользователей. Сроки уведомления остальных пострадавших пользователей не определены.
  • 22 апреля 2026 г. (на момент написания): Сроков уведомления всё еще нет. Люди, чьи токены были скомпрометированы в феврале, до сих пор не знают, когда и сообщат ли им об этом вообще.

Это та часть, которая должна заставить технические команды задуматься об установке сторонних ИИ-инструментов. Обнаружение взлома вендором — это не то же самое, что раскрытие информации вам.

Во многих случаях у вендора нет договорных или нормативных обязательств сообщать вам о компрометации его сервиса, даже если компрометация включала переданные вами OAuth-токены. Вы можете делать всё правильно со своей стороны — минимальные права доступа, MFA, условный доступ, обучение безопасности — и всё равно месяцами находиться под прицелом атакующего, потому что единственная сторона, способная вас предупредить, — это сторона, которая пока не хочет ничего говорить.

Деталь 3: Собственное разделение продуктов Context AI подтверждает, какая архитектура выживает

В том же бюллетене Context AI запрятана одна фраза, которая весит больше, чем весь остальной документ вместе взятый.

Взломанным продуктом был AI Office Suite — устаревший потребительский продукт Context AI. Их текущий корпоративный продукт, Bedrock, не пострадал. Собственная причина, указанная Context AI: Bedrock «работает в средах клиентов».

Одна и та же компания с одной и той же командой инженеров создала два продукта с двумя разными архитектурами. Тот, что был SaaS-посредником — тот, который хранил токены OAuth от имени клиента в централизованном облаке — был взломан. Тот, что работает в среде клиента — тот, который поместил ИИ рядом с данными, а не данные рядом с ИИ — выжил. Не потому, что у него была лучшая система безопасности, а потому, что у злоумышленников не было централизованного хранилища, до которого можно было бы добраться.

Вам не нужно верить Caiioo на слово, что у централизованного SaaS ИИ есть структурная проблема. Линейка продуктов самой Context AI подтверждает это.

Что это значит для тех, кто оценивает ИИ-инструменты

Общий структурный вывод сообщества исследователей безопасности — Trend Micro, Varonis, Halborn, OX Security, Strapi — заключается в том, что широкие права OAuth «Разрешить всё» являются катализатором. После выдачи эти токены обходят MFA и условный доступ. Компрометация вендора становится компрометацией каждого аккаунта далее по цепочке.

Следуют три вывода:

  1. Отдавайте предпочтение минимальным правам доступа, если вендор их предлагает. Если ИИ-инструмент запрашивает доступ на чтение и запись ко всему вашему Google Workspace для работы функции календаря — это тревожный сигнал.
  2. Отдавайте предпочтение вендорам, чья архитектура вообще не требует долгоживущих централизованных токенов. Это структурный шаг. Модели Bring Your Own Auth (BYOA), где клиент OAuth развертывается в вашем собственном облачном проекте, а токены остаются на вашем устройстве, полностью исключают вендора из цепочки доверия.
  3. Не полагайтесь на раскрытие информации вендором как на систему раннего предупреждения. Хронология Context AI — обнаружение в марте, уведомление одного клиента, обновление бюллетеня 21 апреля без обязательств по широкому уведомлению — не исключение. Это то, к чему приводит экономика раскрытия инцидентов при отсутствии строгих юридических обязательств. Ваши средства контроля должны исходить из того, что вендор не сообщит вам вовремя.

Как Caiioo построен вокруг этого

Caiioo — это мощное, ориентированное на приватность рабочее пространство с агентным оркестратором и интерфейсом чата, работающим в боковой панели. Архитектура построена на том же понимании, которое случайно подтвердило разделение продуктов Context AI: рабочее пространство должно работать рядом с вашими данными, а не хранить ваши данные рядом с собой.

Кратко: ваши токены OAuth для Workspace хранятся в зашифрованном виде на вашем устройстве, а не в базе данных caiioo. Ваши вызовы API Gmail/Календаря/Диска идут с вашего устройства напрямую в Google, и наша инфраструктура никогда не находится на пути данных. Ретранслятор, который мы используем — для координации между устройствами, обмена OAuth и трафика лицензий/оплаты — построен на базе Cloudflare Durable Objects для каждого пользователя (каждый пользователь аппаратно изолирован от всех остальных) и использует сквозное шифрование в своей шине сообщений WebSocket (мы можем маршрутизировать сообщения, но не можем их прочитать). Наша центральная база данных хранит идентификационные данные аккаунта, статус оплаты и метаданные маршрутизации — не ваш контент, не ваши токены Workspace, не ваши диалоги. Полный технический разбор, включая таблицу трафика, которую вы можете проверить сами с помощью Little Snitch или Wireshark, находится в нашем сопутствующем посте об архитектурном ответе на этот взлом.

Это означает, что инцидент в стиле Context AI против Caiioo не смог бы привести к последствиям в стиле Context AI. Не было бы украденного хранилища токенов, потому что хранилища токенов не существует. Не было бы месяца молчания, пока мы решаем, когда сообщить пользователям, потому что в нашей инфраструктуре злоумышленнику нечего было бы забрать у пользователя. Проблема «обнаружение вендором не является вашим раскрытием» исчезает, когда вендору изначально нечего хранить.

Попробуйте Caiioo

Caiioo доступно как расширение для браузера, нативное приложение для macOS, нативное приложение для iOS, нативное приложение для Android, а также десктопное приложение для Windows и Linux. Начните бесплатно.

Источники: