Vercel offentliggjorde i april 2026 en sikkerhedshændelse der startede et helt andet sted end deres egen infrastruktur: i et tredjeparts AI-værktøj kaldet Context.ai. Angriberen brugte ikke en sårbarhed i Vercel. De brugte en OAuth-app.
Det er den egentlige historie. Ikke at Vercel blev ramt, men at tredjeparts AI-værktøjer med bred Google Workspace-adgang er blevet en ny og effektiv supply chain-angrebsflade. For enhver virksomhed der bruger AI-tools med OAuth-integrationer, er der praktiske ting at tage stilling til nu.
Vercel er en stor amerikansk hosting-platform til moderne webapplikationer bygget på frameworks som Next.js, Nuxt og SvelteKit. Kunder som Notion, Ramp og tusindvis af SaaS-produkter kører deres produktion hos dem.
Ifølge Vercels egen officielle bulletin startede angrebet med en kompromittering af Context.ai, et AI-værktøj som en Vercel-medarbejder brugte. Gennem den adgang overtog angriberen medarbejderens Google Workspace-konto. Derfra fik de læseadgang til Vercel-miljøer og environment-variabler der ikke var markeret som "sensitive".
Environment-variabler der var markeret som sensitive (API-nøgler, database-credentials og lignende gemt krypteret) er ifølge Vercel ikke blevet læst. npm-pakker udgivet af Vercel er verificeret uændrede i samarbejde med GitHub, Microsoft, npm og Socket. Efterforskningen kører stadig med Mandiant som ekstern partner, og Vercel vurderer selv angriberen som "highly sophisticated".
Vercel er ikke det interessante i historien. Det interessante er hvordan angriberen kom ind. Context.ai er et AI-værktøj der kobler sig på Google Workspace via OAuth. Det betyder at brugeren giver appen tilladelse til at læse (og potentielt skrive til) Gmail, Drive, Calendar og andet. Når selve OAuth-appen bliver kompromitteret, har angriberen med ét de samme rettigheder som appen havde hos alle brugere der har installeret den.
Vercel skriver selv i deres bulletin at OAuth-appen "potentielt" har ramt hundreder af brugere på tværs af mange organisationer. Det er en supply chain-angrebsvektor der ikke kræver at angriberen rammer hver enkelt virksomhed individuelt. Ét kompromitteret AI-værktøj giver adgang til alle der har integreret det.
Den klassiske supply chain-angrebsflade har tidligere været open source-biblioteker (npm, PyPI), CI/CD-pipelines og SaaS-leverandører. AI-værktøjer med bred OAuth-scope er en ny kategori, og den vokser hurtigt fordi produktadoptionen er hurtigere end governance-modenheden. Medarbejdere installerer AI-værktøjer hurtigere end IT når at katalogisere dem.
Tre ting gør AI-værktøjer særligt udsatte som angrebsvektor. For det første beder de ofte om meget bred OAuth-scope. Et AI-værktøj der skal "hjælpe dig med dine emails" har typisk brug for fuld Gmail-læseadgang, ikke kun én mappe. Et værktøj der analyserer møder har brug for Calendar og Drive. Scope er bredt fordi brugeren ønsker kontekstuel AI der forstår hele arbejdssituationen.
For det andet bliver de installeret hurtigt og med lav intern friktion. En medarbejder finder et smart AI-værktøj, klikker "Log ind med Google", og har med det samme givet appen adgang til hele sin konto. Der er ofte ingen IT-godkendelse involveret. Det her er Shadow AI i en særligt risikabel form, fordi adgangen rækker langt ud over selve AI-værktøjet.
For det tredje er mange AI-værktøjer små startups uden modne security-programmer. De har ikke nødvendigvis de interne kontroller, bug bounty-programmer eller incident response-procedurer som etablerede SaaS-leverandører har. Kombineret med den brede OAuth-adgang gør det dem til attraktive mål for sofistikerede angribere.
Det konkrete først. Hvis I bruger Vercel: rotér environment-variabler der ikke var markeret som sensitive (API-nøgler, tokens, database-credentials, signing keys). Sæt nye som sensitive by default (Vercel har nu ændret dette til default-adfærd). Gennemgå activity logs og sæt Deployment Protection til mindst Standard. Vercel har samlet alle anbefalinger direkte i deres bulletin.
Hvis I ikke bruger Vercel, men bruger Google Workspace: tjek hvilke tredjeparts OAuth-apps jeres medarbejdere har givet adgang til. Specifikt den IOC-app Vercel har publiceret (app-ID 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj). Hvis den er i brug, fjern den og rotér credentials der kunne være eksponeret via Gmail eller Drive.
Bredere: indfør en proces for godkendelse af AI-værktøjer med OAuth-scope. Det behøver ikke være en bureaukratisk komité, men det skal som minimum kræve at nogen kigger på hvilken scope appen beder om, hvem leverandøren er, og om brede permissions kan begrænses. De fleste OAuth-apps understøtter i dag granulær scope, men brugerne klikker bare "Allow" på default-settet uden at læse.
De fleste diskussioner om AI Governance handler om modellerne: hvilke data må I fodre ChatGPT med, hvornår skal outputs valideres, hvordan undgår I hallucinationer. Det er vigtigt, men det er kun halvdelen. Den anden halvdel er værktøjs-governance: hvilke AI-værktøjer kører i jeres organisation, hvilke systemer har de adgang til, og hvad sker der hvis ét af dem bliver kompromitteret.
Vercel-hændelsen er en advarsel om at den anden halvdel er blevet lige så vigtig som den første. En medarbejders spontane beslutning om at integrere et AI-værktøj med Google Workspace kan være den eneste ting der adskiller jeres produktionsdata fra en angriber. Den slags beslutninger bør ikke træffes uden synlighed.
Det betyder ikke at AI-værktøjer skal blokeres. Det betyder at de skal håndteres som hvad de er: en leverandørkategori med særlig risikoprofil fordi de typisk kræver bred adgang. Samme princip som med andre tredjepartsleverandører, bare med den tilføjelse at OAuth-scope kan eksponere data på måder der er svære at opdage bagefter.