A Roblox cheat, a month of silence, and an enterprise OAuth breach: what the Vercel incident is really teaching

Ito ay isang machine translation ng orihinal na dokumentong Ingles. Sa kaganapan ng anumang salungatan sa pagitan ng pagsasaling ito at ng orihinal na bersyong Ingles, ang bersyong Ingles ang mangingibabaw. Basahin ang orihinal na bersyong Ingles

Isang Roblox cheat, isang buwan ng katahimikan, at isang enterprise OAuth breach: kung ano ang tunay na itinuturo ng insidente sa Vercel

2026-04-22 · Caiioo Team

Tatlong detalye mula sa Vercel breach ang karapat-dapat na bigyang-pansin. Wala sa mga ito ang headline. Lahat ng mga ito ay nagbabago sa kung paano mo dapat isipin ang pag-install ng third-party AI tools.

Detalye 1: Ang supply chain sa isang Vercel breach ay nagsimula sa isang Roblox cheat

Ang pampublikong salaysay ng insidente sa Vercel ay ganito: isang empleyado ng Vercel ang nag-install ng Context AI, binigyan ito ng malawak na Google Workspace scopes, ang Context AI ay na-breach, ang OAuth token ay na-hijack, ang attacker ay pumasok sa Vercel.

Iyan ang downstream na kuwento. Ang upstream na kuwento ay mas kakaiba.

Ayon sa pagsusuri ng Hudson Rock — na ngayon ay pinagkasunduang ulat sa Trend Micro, OX Security, Strapi, at The Hacker News, at hindi itinanggi ng Vercel o Context AI noong Abril 22 — ang orihinal na vector ay isang empleyado ng Context AI na ang personal na device ay nakompromiso noong Pebrero 2026. Ang kompromiso ay Lumma Stealer, isang off-the-shelf na infostealer. Ang delivery vehicle, ayon sa ulat, ay isang na-download na Roblox "auto-farm" game exploit.

Ginawa ng stealer ang ginagawa ng mga stealer. In-exfiltrate nito ang Google Workspace credentials at AWS access credentials ng empleyado. Ang mga credential na iyon ang naging leverage point para sa lahat ng downstream: access sa AWS environment ng Context AI, access sa OAuth token vault na hawak ng Context AI para sa mga consumer user nito, access sa token na ibinigay ng isang empleyado ng Vercel para sa kanilang corporate Google Workspace, at sa huli ay access sa mga internal environment ng Vercel at isang subset ng customer environment variables.

Isang Roblox cheat, sa isang personal na laptop ng empleyado, ang ugat ng isang enterprise OAuth supply-chain breach na inilalarawan ng Vercel na posibleng makaapekto sa "daan-daang user sa maraming organisasyon."

Ang aral ay hindi "masama ang Roblox." Ang aral ay sa isang SaaS-AI architecture, ang attack surface ay umaabot sa bawat personal na device ng empleyado sa bawat vendor sa iyong supply chain. Maaari kang magkaroon ng perpektong endpoint hygiene sa iyong kumpanya, at makompromiso pa rin dahil may isang tao na dalawang vendor ang layo na nag-download ng maling file.

Detalye 2: Alam na ng Context AI noong Marso. Isang customer lang ang inabisuhan nila.

Ang sariling security bulletin ng Context AI, na inilathala sa context.ai/security-update at na-update noong Abril 21, 2026, ay nagsisiwalat ng timeline na ito:

  • Marso 2026: Natukoy ng Context AI ang hindi awtorisadong pag-access sa AWS environment na nagho-host ng kanilang deprecated na AI Office Suite product. Kinuha nila ang CrowdStrike para sa forensics, itinigil ang apektadong environment, at inabisuhan ang isang natukoy na apektadong customer.
  • Sa pagitan ng Marso at Abril 19: Ang mga OAuth token na pag-aari ng "ilan" sa kanilang mga consumer user ay nananatiling nakompromiso. Walang karagdagang abiso sa user ang ginawa. Walang pampublikong pagsisiwalat.
  • Abril 19, 2026: Inilathala ng Vercel ang security incident bulletin nito, matapos na nakapag-iisa nitong natunton ang kompromiso pabalik sa Context AI sa pamamagitan ng sarili nilang forensics.
  • Abril 21, 2026: Ni-update ng Context AI ang bulletin nito na may karagdagang gabay para sa user. Walang nakatalagang timeline para sa pag-abiso sa natitirang mga apektadong consumer user.
  • Abril 22, 2026 (sa oras ng pagsulat na ito): Wala pa ring timeline ng abiso. Ang mga taong ang mga token ay nakompromiso noong Pebrero ay hindi pa rin alam kung kailan, o kung, sasabihan sila.

Ito ang bahagi na dapat magpabago sa kung paano iniisip ng mga technical team ang pag-install ng third-party AI tools. Ang breach detection sa vendor ay hindi katulad ng pagsisiwalat sa iyo.

Mayroong, sa maraming kaso, walang kontraktwal o regulasyong obligasyon para sa vendor na sabihin sa iyo na ang kanilang serbisyo ay nakompromiso, kahit na kasama sa kompromiso ang mga OAuth token na ibinigay mo sa kanila. Magagawa mo ang lahat nang tama sa iyong dulo — least-privilege scopes kung posible, MFA, conditional access, security awareness training — at tumatakbo pa rin sa oras ng attacker sa loob ng maraming buwan, dahil ang tanging partido na nasa posisyon para babalaan ka ay ang partido na ayaw pang magsalita.

Detalye 3: Ang sariling product split ng Context AI ang nagpapatunay kung aling arkitektura ang nananatili

Nakabaon sa parehong bulletin ng Context AI ang isang sugnay na mas may timbang kaysa sa natitirang bahagi ng dokumento.

Ang produktong na-breach ay ang AI Office Suite — ang deprecated na consumer product ng Context AI. Ang kanilang kasalukuyang enterprise product, ang Bedrock, ay hindi naapektuhan. Ang sariling dahilan ng Context AI: ang Bedrock ay "tumatakbo sa mga environment ng customer."

Ang parehong kumpanya, na may parehong engineering team, ay bumuo ng dalawang produkto na may dalawang magkaibang arkitektura. Ang SaaS-middleman — ang humahawak ng mga OAuth token para sa customer sa isang sentralisadong cloud — ang siyang nanakawan. Ang tumatakbo-sa-environment-ng-customer — ang naglagay ng AI sa tabi ng data sa halip na ang data sa tabi ng AI — ang nakaligtas. Hindi dahil mayroon itong mas mahusay na security engineering, kundi dahil walang sentralisadong vault para maabot ng mga attacker.

Hindi mo kailangang maniwala sa salita ng Caiioo na ang sentralisadong SaaS AI ay may problema sa istruktura. Ang sariling product line ng Context AI ang nagpapatunay nito.

Ano ang ibig sabihin nito para sa sinumang sumusuri ng AI tools

Ang pinagkasunduang structural na aral sa buong security research community — Trend Micro, Varonis, Halborn, OX Security, Strapi — ay ang malawak na "Allow All" OAuth scopes ang nagbibigay-daan. Kapag naibigay na, ang mga token na iyon ay umiiwas sa MFA at conditional access. Ang isang kompromiso sa vendor ay nagiging kompromiso ng bawat downstream account.

Tatlong takeaway ang sumusunod:

  1. Mas piliin ang least-privilege scopes kung saan inaalok ito ng vendor. Kung ang isang AI tool ay humihingi ng read-write access sa iyong buong Google Workspace para gumawa ng isang Calendar feature, ang hiling na iyon ay isang red flag.
  2. Mas piliin ang mga vendor na ang arkitektura ay hindi nangangailangan ng long-lived centralized tokens sa lahat. Ito ang structural move. Ang mga Bring Your Own Auth (BYOA) models, kung saan ang OAuth client ay naka-provision sa iyong sariling cloud project at ang mga token ay nananatili sa iyong device, ay ganap na nag-aalis sa vendor mula sa trust chain.
  3. Huwag umasa sa pagsisiwalat ng vendor bilang isang early-warning system. Ang timeline ng Context AI — Marso detection, abiso sa isang customer, Abril 21 bulletin update na wala pa ring commitment sa mas malawak na abiso sa user — ay hindi isang outlier. Ito ang ginagawa ng ekonomiya ng pagsisiwalat ng insidente sa kawalan ng mahigpit na legal na obligasyon. Ang iyong mga kontrol ay kailangang ipagpalagay na hindi ka sasabihan ng vendor sa tamang oras.

Paano binuo ang Caiioo sa paligid nito

Ang Caiioo ay isang malakas at privacy-first na workspace na may agentic orchestrator at chat interface na tumatakbo sa isang side panel. Ang arkitektura ay binuo sa parehong pananaw na hindi sinasadyang pinatunayan ng product split ng Context AI: ang workspace ay dapat tumakbo sa tabi ng iyong data, hindi hawakan ang iyong data sa tabi nito.

Ang maikling bersyon: ang iyong mga Workspace OAuth token ay nakaimbak nang encrypted sa iyong device, hindi sa isang database ng Caiioo. Ang iyong mga Gmail/Calendar/Drive API call ay direktang pumupunta mula sa iyong device patungo sa Google, at ang aming imprastraktura ay hindi kailanman dadaan sa data path. Ang relay na aming pinapatakbo — para sa koordinasyon ng device-to-device, mga palitan ng OAuth, at trapiko ng lisensya/billing — ay binuo sa per-user na Cloudflare Durable Objects (ang bawat user ay hardware-isolated mula sa bawat isa) at gumagamit ng end-to-end encryption sa WebSocket message bus nito (maaari naming i-route ang mga mensahe ngunit hindi namin mababasa ang mga ito). Ang aming sentral na database ay nag-iimbak ng account identity, billing state, at routing metadata — hindi ang iyong nilalaman, hindi ang iyong mga Workspace token, hindi ang iyong mga pag-uusap. Ang buong teknikal na breakdown, kabilang ang isang traffic table na maaari mong i-verify mismo gamit ang Little Snitch o Wireshark, ay nasa aming companion post tungkol sa architectural response sa breach na ito.

Nangangahulugan iyon na ang isang Context AI-style na insidente laban sa Caiioo ay hindi makakagawa ng isang Context AI-style na resulta. Walang mananakaw na token vault, dahil walang token vault. Walang tahimik na buwan ng pagpapasya kung kailan sasabihin sa mga user, dahil walang anuman sa aming imprastraktura para makuha ng isang attacker mula sa sinumang user. Ang problema sa vendor-detection-is-not-your-disclosure ay nawawala kapag ang vendor ay walang hawak na anuman sa iyo sa simula pa lang.

Subukan ang Caiioo

Ang Caiioo ay available bilang extension sa browser, native na macOS app, native na iOS app, native na Android app, at desktop app para sa Windows at Linux. Magsimula nang FREE.

Mga Sanggunian: