Vercel把加密做成"透明玻璃"：用户3年没发现的隐患

2023年，一家金融科技公司的工程师在调试Vercel Workflow时，意外在日志里看到了完整的用户银行卡号。他截图发在内部群，配文"这玩意儿怎么没打码"。没人回复。三个月后，那台日志服务器的访问权限被内部审计标记为"高风险"。

这类场景即将成为历史。3月17日，Vercel宣布Workflow全线启用端到端加密，覆盖输入参数、步骤返回值、钩子负载、流数据——所有写入事件日志的内容。关键细节：用户零代码改动。你的函数该怎么写还怎么写，加密发生在平台层，像一层"透明玻璃"挡在数据和存储之间。

加密不是"加锁"，是"换玻璃"

技术实现上，Vercel玩了个精巧的设计。每次工作流运行会派生独立密钥，走HKDF-SHA256协议；数据落盘前用AES-256-GCM加密。这意味着什么？同一项目的两次运行，密钥不同；事件日志里只有密文，连Vercel自己的运维都看不到原文。

仪表盘里的展示更直观：加密字段显示为带锁占位符，点击解密按钮才会还原。解密全程在浏览器端通过Web Crypto API完成，观测服务器只传递密文，不触碰明文。CLI用户加--decrypt旗标即可本地解密。

权限模型直接复用项目环境变量的访问控制。没权限看环境变量的人，同样解不了工作流数据。每次解密请求进审计日志，谁、何时、看了什么，全留痕。

为什么现在才做？

云厂商的加密叙事通常分两种剧本。AWS KMS那种是"你自己管钥匙"，开发者要改代码、配IAM、写轮换逻辑；另一种是"我们全包"，但钥匙在厂商手里，合规审计时总被质疑。Vercel选了第三条路：平台托管密钥，但解密权限下放给终端用户，厂商端不留明文通道。

这种架构的代价是技术债。Workflow的事件日志要支持实时流、步骤重放、调试追溯——全加密后，搜索、过滤、聚合都得重新设计。Vercel的解法是把敏感字段单独处理，非敏感元数据保持明文，平衡安全与可观测性。

自定义运行时的用户也能接入。通过getEncryptionKeyForRun()方法注入自己的密钥派生逻辑，核心运行时自动调用。这对有合规硬要求的企业是刚需：密钥可以走HSM（硬件安全模块），审计链可以接自己的SIEM（安全信息与事件管理）系统。

一个被忽视的产品信号

加密功能的发布时机耐人寻味。Vercel Workflow 2023年上线，主打"把Vercel的Serverless体验搬到工作流"。两年间，它从定时任务工具长成连接数据库、AI模型、第三方API的编排中枢。数据敏感度水涨船高，加密从"加分项"变成"准入门槛"。

更深层的变化是竞争格局。Cloudflare Workers去年推出加密绑定（Encrypted Bindings），AWS Step Functions强化与KMS的集成，边缘计算战场正在从"谁更快"转向"谁更敢接敏感数据"。Vercel的零代码改造策略，本质是降低安全能力的采纳门槛——让中小团队不用雇专职安全工程师，也能过SOC 2审计。

仪表盘里的那把"锁"图标，可能是2026年最被低估的产品设计。它不改变任何交互习惯，却在每次点击时提醒用户：这里曾经躺着明文，现在只有你能打开。

那个三年前截图的工程师，如果现在打开同一面板，会看到什么？