OAuth供应链攻击：一个AI工具如何撕开Vercel防线

「攻击者的阻力最小路径已经转移。」Trend Micro在分析报告中写下这句话时，指向的不是传统钓鱼，而是一条更隐蔽的通道——通过被感染的第三方AI工具，合法令牌成了特洛伊木马。

攻击链还原：从一台员工电脑到Vercel生产环境

2026年4月19日，Vercel发布安全公告。事件起点不在Vercel内部，而在Context.ai——一家提供AI办公套件的SaaS公司。

Reco的分析将初始入侵时间定为2026年2月。Context.ai一名员工的机器感染了Lumma Stealer信息窃取木马。Trend Micro确认了这一恶意软件家族。木马窃取了该员工能接触到的OAuth令牌，其中包括Context.ai AI办公套件用户的令牌。

其中一枚令牌属于一名Vercel员工。该员工曾从Vercel管理的Google账号向Context.ai授予了广泛的Google Workspace权限范围。攻击者用这枚令牌接管了该Workspace身份，横向移动进入Vercel环境，最终访问了少量客户的非敏感环境变量。Vercel联系了少数受影响客户，要求轮换凭证。

TechCrunch和Help Net Security在一天内报道了披露。Trend Micro将此事定性为OAuth供应链攻击——这个标签抓住了本质。

两个关键事实

Vercel的说法中，数据暴露范围有限：少量客户的非敏感环境变量。但结构性教训不在于Context.ai的恶意软件。

核心在于：一个第三方AI工具，被一名员工授予了Workspace级别的OAuth权限范围，竟能成为攻入主流平台生产环境的可行跳板。这种模式远不止影响Vercel。

AI工具蔓延：每个都是潜在入口

2026年的大多数工程组织，Workspace里接入了30到200个AI工具。每个工具都是一家小型SaaS公司，都有员工，都可能感染信息窃取木马。每个工具如果被授予了来自同时具有生产访问权限的Workspace身份的广泛OAuth权限范围，都是一条可行的横向路径。

对比两种攻击路径：

直接钓鱼Vercel员工：需要突破双因素认证、异常登录检测，以及一支专职偏执的安全团队。

钓鱼Context.ai员工，然后走他们发出的OAuth授权：授权是自愿发放的，令牌有效，API调用看起来正常——所有控制措施全部绕过。

这不是Vercel的问题。这是AI工具蔓延速度超过OAuth权限范围治理的必然结果。

五个必查问题

对于每个接入Workspace或组织账号的AI工具、MCP服务器或智能体集成，值得追问：

第一，它实际请求了什么权限范围，员工又授予了什么？

OAuth同意页面对许多SaaS工具默认全有或全无。Vercel公告显示，本次案例中授予了广泛的Google Workspace权限范围。审计实际授予的内容。多数同意流程中，授予等于请求，但要核实而非假设。

第二，它以谁的身份运行？

来自管理员账号的Workspace级授权，与来自普通用户的授权，风险完全不同。后者可能只有部分数据访问权限，但如果是同一身份能登录生产环境，攻击者就能跟着进去。

第三，该身份还能访问什么？

OAuth令牌不会自动继承授予者的所有权限，但身份会。如果授权身份同时持有生产系统的访问密钥，攻击者就能以该身份为支点，向生产环境横向移动。

第四，权限范围能否缩小？

Google Workspace支持细粒度权限范围。检查工具是否真正需要日历、邮件、云端硬盘的完全访问，还是只读或特定文件夹即可。多数工具请求的权限远超实际所需。

第五，如何监控异常使用？

合法的OAuth令牌被异地使用，传统异常登录检测可能无法识别——因为令牌本身有效。需要针对OAuth令牌的异常行为监控：非常规IP、非常规时间、非常规数据访问模式。

为什么这件事重要

这次攻击暴露了一个治理盲区：安全团队盯着自家员工的钓鱼邮件，却忽略了第三方SaaS员工的电脑可能已经被感染。OAuth供应链攻击把防御的边界，从「我的员工」扩展到了「我员工使用的所有工具的全体员工」。

2026年的工程组织，平均接入的AI工具数量是2023年的5倍以上。每个新工具都是一次隐性的信任延伸。Vercel事件的价值在于，它用一次实际发生的入侵，把这个抽象风险变成了可量化的损失。

行动清单：本周内完成Workspace级AI工具的OAuth权限审计，优先处理具有生产环境访问权限的员工账号。权限范围能缩则缩，不能缩的加监控。供应链安全的战场，已经从你的防火墙外侧，推进到了你员工点击「同意授权」的那个弹窗。