Ситуация вокруг взлома Vercel накаляется. Прошло уже 12 дней с момента обещания компании опубликовать обновленную политику безопасности и аудит OAuth-доступов после инцидента 19 апреля, но документов всё еще нет. Это молчание спровоцировало юридическую атаку: юридическая фирма Class Action U. начала сбор пострадавших клиентов для подачи коллективного иска.

Что произошло?

Напомним контекст: хакерская группировка (предположительно ShinyHunters) выставила на продажу данные Vercel за $2 млн. В дампе оказались:

• API-ключи и NPM-токены;
• GitHub-токены и исходный код проектов;
• Внутренние данные компании.

Вектор атаки оказался классическим для современной AI-эпохи: «Supply Chain Attack» через OAuth. Один из сотрудников Vercel авторизовался в стороннем сервисе Context AI через рабочую учетную запись Google Workspace, выдав права «Allow All». Доступ у злоумышленников был еще с февраля — за 8 недель до официального признания взлома.

Почему это важно для вайбкодеров

Vercel — это не просто хостинг, это фундамент экосистемы Next.js (6 млн загрузок в неделю). Для тех, кто строит продукты на связке Cursor + Next.js + Vercel, это тревожный звонок по нескольким причинам:

1. Риск цепочки поставок: Если скомпрометированы токены GitHub и NPM, под угрозой оказывается целостность самого фреймворка Next.js.
2. Юридический прецедент: Vercel пытается сослаться на условия использования, запрещающие коллективные иски, но задержка в раскрытии информации на 2 месяца может аннулировать эту защиту в суде.
3. Проверка на «взрослость»: Молчание компании такого уровня после утечки исходного кода — плохой сигнал для Enterprise-сектора.

Что делать сейчас?

Пока Vercel не предоставила обещанный отчет, вайбкодерам стоит провести ревизию своих доступов. Проверьте, какие сторонние AI-тулзы имеют доступ к вашим репозиториям и аккаунтам Vercel. Если вы используете OAuth для авторизации «в один клик» в сомнительных сервисах — самое время отозвать эти права и перегенерировать критические API-ключи.