Vercel被黑真相：OAuth令牌成供应链新命门

过去30天，4起重大安全事件共享同一攻击路径：没人攻破核心系统，全是借道第三方集成。信任继承（trust inheritance）正在取代漏洞利用，成为2026年供应链攻击的主流形态。

攻击链复盘：不是平台被破，是信任被借

事件起点不在Vercel内部。攻击者先拿下Context.ai——一款AI生产力工具——从中继承OAuth令牌，再凭此穿透Vercel的信任边界。

网络安全公司Hudson Rock在披露前一个多月就已识别出信息窃取日志。若当时撤销凭证，整条攻击链直接断裂。

关键细节：Vercel员工的操作毫无异常。用工作账号注册AI工具，全球数百万开发者每天都在做。这正是问题所在。

OAuth令牌本质是便携身份包。2026年的攻击者无需钓鱼密码，只需攻破正确的集成点，剩下的交给OAuth自动完成。

明文变量的连锁反应

Vercel对标记为"敏感"的环境变量做静态加密，但"非敏感"变量以明文存储。攻击者利用这些明文变量完成横向移动。

教训不限于Vercel：只要攻击者能触及，就是敏感数据。分类必须是动态的、上下文感知的，而非写死的一次性判断。

"敏感"的威胁模型不能在创建时定义后就搁置。访问路径会变，集成授权会扩张。半年前低风险的变量，六个月后可能就坐在被攻陷的OAuth令牌两步之外。

过去30天的四连击：同一剧本的变奏

事件一：Axios供应链投毒

攻击者窃取核心维护者jasonsaayman的长期有效npm令牌，发布两个后门版本（1.14.1和0.30.4）。植入幽灵依赖plain-crypto-js@4.2.1，通过postinstall钩子静默部署跨平台远程控制木马，覆盖macOS、Windows、Linux。

攻击者没有击败OIDC（开放ID连接，一种身份验证协议），而是从并存的遗留令牌旁走过。安全栈"正确"部署，但全部失效。

事件二：Trivy→LiteLLM双阶段链

3月19日：威胁组织TeamPCP利用配置错误的pull_request_target工作流，攻陷trivy-action GitHub Action，窃取Aqua Security机器人的个人访问令牌。重写发布标签，向Trivy（广泛使用的开源安全扫描器）注入凭证收割器。

3月24日：LiteLLM的CI/CD流水线运行Trivy作为构建环节，被攻陷的Action窃取其PyPI发布令牌。

攻击者没碰LiteLLM的代码库，也没碰Trivy的源代码。他们污染了两者之间的工具链——一个被数百万项目信任的"安全"扫描器。

事件三：LangChain生态的依赖混淆

攻击者在PyPI发布恶意包langchain-experimental-0.3.15，利用Python的松散包解析规则，使依赖langchain-experimental>=0.3.0的项目自动拉取恶意版本。安装脚本检测运行环境，针对Jupyter Notebook和云函数环境定制载荷。

没有社会工程，没有凭证窃取。纯粹利用生态系统的包解析行为。

2026攻击模式的四个特征

对比四起事件，攻击形态已清晰：

1. 零漏洞化

没有零日漏洞，没有容器逃逸。攻击面完全转移：从"你的代码有没有漏洞"变成"你的集成有多可信"。

2. 令牌即目标

长期有效的个人访问令牌、OAuth令牌、发布令牌成为核心资产。这些令牌往往比密码权限更广、存活更久、监控更弱。

3. 工具链即战场

攻击者不再直接瞄准终端项目，而是污染中间层：安全扫描器、构建工具、AI辅助开发工具。这些工具拥有跨组织的访问特权，却极少被当作攻击面管理。

4. 分类失效

静态敏感数据分类在动态攻击链面前失效。明文存储的"非敏感"变量成为横向移动跳板，"遗留"令牌绕过现代身份架构，松散配置的CI/CD工作流成为特权升级通道。

防御体系的结构性缺陷

当前安全架构的设计假设正在被逐一击穿：

假设一：边界防御足够

Vercel的加密、Axios的OIDC、LiteLLM的密钥管理都符合最佳实践。但攻击者从未正面冲击这些防御，而是从信任的第三方侧翼切入。

假设二：令牌生命周期可控

npm令牌、PyPI令牌、GitHub个人访问令牌的实际存活周期远超理论值。维护者轮换、项目转手、令牌遗忘——长期令牌在暗处累积。

假设三：工具链可信

Trivy是安全扫描器，Context.ai是生产力工具。组织采购评估关注功能，极少审查这些工具自身的供应链安全态势。当工具被攻陷，其跨组织访问权限成为攻击放大器。

假设四：敏感性是静态属性

环境变量的敏感等级在创建时标注，但访问路径持续演化。今天的低风险变量，明天可能通过新集成的OAuth令牌暴露给外部系统。

重构防御：从代码安全到关系安全

四起事件指向同一结论：2026年的安全核心不是"我的代码安全吗"，而是"我的关系网络可信吗"。

关系清单化

建立完整的第三方集成清单，包括直接依赖和间接工具链。每个集成点需记录：权限范围、令牌类型、最后轮换时间、供应商安全响应历史。

令牌最小化与动态化

推动所有发布令牌、访问令牌向短期凭证迁移。对无法替换的长期令牌，实施强制轮换周期和异常使用监控。Hudson Rock的案例表明，信息窃取日志的及时响应可阻断完整攻击链。

工具链安全评估

将CI/CD工具、安全扫描器、AI辅助开发工具纳入攻击面管理。评估标准包括：供应商的漏洞响应速度、签名验证机制、供应链透明度（SLSA等级）。

动态敏感分类

环境变量的敏感等级需随访问路径重新评估。实施自动化扫描，识别"非敏感"变量的实际暴露面——哪些集成可读取、哪些网络路径可达、是否存在于日志或备份中。

集成行为监控

OAuth授权和令牌使用需建立行为基线。异常模式包括：新地理位置访问、权限范围扩展请求、非工作时段的高频API调用。

为什么这件事重要

供应链攻击的形态正在从"利用漏洞"转向"继承信任"。这一转变的隐蔽性在于：防御体系的设计假设未被挑战，而是被绕过。

Vercel事件不会是个案。AI工具的普及正在爆炸式增长开发者集成点，每个集成都是潜在的信任继承通道。当攻击成本从"寻找零日漏洞"降为"注册一个流行SaaS的账号"，攻击面的扩张速度远超防御体系的适应能力。

对技术团队的具体行动：本周内审计所有第三方OAuth授权，识别长期未轮换的发布令牌，将CI/CD工具链纳入漏洞管理范围。信任继承攻击的窗口期正在缩短——从信息窃取日志出现到凭证被利用，Hudson Rock的数据表明平均间隔超过30天。这30天是目前少数仍可操作的防御时间。