Технический контекст
Я люблю такие кейсы не за драму, а за честную механику атаки. Здесь все слишком знакомо для тех, кто делает AI integration в реальных компаниях: сторонний AI-сервис, широкие OAuth-права, один скомпрометированный аккаунт, и дальше эффект домино.
По данным Vercel, точка входа была не у них, а у Context.ai, которым пользовался сотрудник. Через компрометацию этого third-party инструмента атакующий перехватил Google Workspace-аккаунт сотрудника Vercel, а уже оттуда добрался до части внутренних окружений и environment variables, которые не были помечены как sensitive.
Критичный нюанс в том, что sensitive-marked переменные, по словам Vercel, не были доступны в читаемом виде. И вот здесь я реально притормозил: вся разница между «неприятный инцидент» и «полный кошмар» уперлась в банальную дисциплину классификации секретов.
Из дополнительного контекста картина еще жестче. У Context.ai, судя по опубликованным данным, украли OAuth-токены после заражения машины сотрудника инфостилером, затем использовали уже выданные доступы, чтобы зайти не через периметр, а через доверенную интеграцию. Это почти учебник по supply-chain атаке, только с AI-ярлыком сверху.
Меня здесь больше всего цепляет не сам факт утечки, а то, насколько легко команды до сих пор воспринимают AI-инструменты как «просто удобный SaaS». Нет, это уже часть вашей identity-плоскости и вашей AI architecture, особенно если сервис просит доступ к Workspace, почте, документам, логам или деплойным токенам.
Что это меняет для бизнеса и автоматизации
Первое: OAuth для AI-сервисов надо рассматривать как продовый доступ, а не как безобидную кнопку Sign in with Google. Если вы строите AI automation и цепляете внешние инструменты к Workspace, Slack, GitHub или Vercel, у вас уже есть supply-chain поверхность атаки.
Второе: environment variables без нормальной классификации теперь выглядят как забытая мина. Неважно, считаете ли вы их «не очень чувствительными», если через них можно развернуть lateral movement, собрать API-ключи или токены деплоя.
Третье: выигрывают команды, у которых есть zero-trust к любому AI-агенту и сторонней интеграции. Проигрывают те, кто раздает широкие scope'ы, не ревизует выданные токены и хранит секреты по принципу «потом разберемся».
Я у клиентов постоянно вижу одну и ту же ошибку: хотят быстрое artificial intelligence implementation, но безопасность подключений считают вторичной задачей. А потом именно она определяет, будет у вас ускорение процессов или дорогой инцидент.
Если у вас уже растет зоопарк AI-инструментов, я бы на вашем месте прямо сейчас прошелся по OAuth-грантам, secret-классификации и доступам агентов. Если нужно, мы в Nahornyi AI Lab можем спокойно разобрать вашу схему и собрать AI automation так, чтобы она экономила время, а не открывала боковую дверь для следующего взлома.