第三方AI工具现漏洞 知名平台Vercel遭入侵数据泄露

2026年4月，知名网页应用部署托管平台Vercel确认遭到黑客组织ShinyHunters入侵，本次攻击根源为一款第三方AI工具的Google Workspace OAuth应用被攻破，攻击者已公开兜售窃取的数据，泄露信息包含Vercel员工姓名、邮箱与操作时间戳，该漏洞或已波及全球数百家机构，Vercel已发布安全提示与入侵指标帮助行业排查风险。

作为全球数百万开发者、创业团队首选的网页部署平台，Vercel此次遇袭的核心问题并非自身核心服务存在漏洞，而是接入的第三方AI工具成为黑客撕开防御的缺口。本次发起攻击的黑客组织ShinyHunters，得手后已经将窃取的数据放到暗网交易市场公开售卖。

Vercel官方已确认，本次攻击并未波及核心客户的项目数据与部署服务，不会影响普通用户的正常业务，目前泄露的仅为部分内部员工的个人信息。但值得警惕的是，本次漏洞影响范围并不局限于Vercel，已有数百家对接该第三方AI工具的各类机构面临权限泄露风险。

近年来生成式AI商业化落地速度加快，绝大多数科技企业都会在内部接入多款第三方AI工具，用于代码生成、办公效率提升、业务分析等场景。多数第三方AI工具为了实现完整功能，都会要求获取企业内部办公系统的授权，部分工具甚至申请了读取内部文档、代码仓库的高等级权限。