История со взломом Vercel — это классический кейс того, как современный стек разработки и любовь к AI-инструментам могут стать ахиллесовой пятой безопасности. Проблема не в самом Vercel, а в так называемом Shadow AI и бесконтрольных OAuth-авторизациях.

Что произошло?

Один из сотрудников Vercel решил протестировать Context.ai — потребительский AI-пакет для офисных задач. Для входа он использовал корпоративную учетную запись Google через OAuth. Позже продукт был заброшен (deprecated), но связь между аккаунтом сотрудника и сервисом осталась активной.

Когда хакеры скомпрометировали Context.ai, они получили «ключи от квартиры» — действующий токен доступа к Google Workspace сотрудника Vercel. Это позволило им проникнуть во внутренние системы компании через легитимный, но забытый мост.

Почему это важно для вайбкодеров?

Мы постоянно пробуем новые AI-агенты, расширения для Cursor и плагины для автоматизации. Каждый раз, нажимая «Continue with Google» или «Authorize GitHub», мы создаем перманентный программный мост.

Основные риски сейчас:

• Shadow Integrations: Вы удалили приложение с телефона, но OAuth-токен в вашем Google/GitHub аккаунте все еще активен. Если сервис взломают через год — вы под ударом.
• Shadow Extensions: Браузерные AI-помощники видят всё, что происходит в окне редактора или консоли управления облаком.
• Shadow Tenants: Использование личных аккаунтов для рабочих задач выводит данные из-под контроля безопасности компании.

Как минимизировать риски?

1. Ревизия OAuth: Зайдите в настройки безопасности Google/GitHub и удалите доступы для всех AI-сервисов, которыми не пользовались больше месяца.
2. Принцип минимальных прав: Если AI-инструменту нужен доступ к репозиториям, давайте его только на чтение или только для конкретных проектов, а не на всю организацию.
3. Изоляция: Используйте отдельные профили браузера или песочницы для тестирования сомнительных «новых убийц Claude».