أعلنت شركة Vercel، المطورة لإطار العمل الشهير Next.js، عن اكتشاف مجموعة إضافية من الحسابات المخترقة ضمن التحقيقات الجارية في حادثة أمنية مرتبطة بمنصة Context.ai، والتي سمحت لمهاجمين بالوصول غير المصرح به إلى أنظمة الشركة الداخلية.
تفاصيل التحقيق وتوسيع نطاق الفحص
أوضحت Vercel أنها وسّعت نطاق التحقيق ليشمل مؤشرات إضافية للاختراق، إلى جانب مراجعة طلبات الشبكة وسجلات قراءة متغيرات البيئة. هذا التوسع كشف عن عدد محدود من الحسابات التي تعرضت للاختراق سابقًا، بشكل مستقل عن الحادثة الأخيرة، ويرجح أن يكون السبب هجمات الهندسة الاجتماعية أو برمجيات خبيثة.
نقطة البداية: إصابة موظف في Context.ai
التحقيقات التي أجرتها شركة Hudson Rock كشفت أن أحد موظفي Context.ai أصيب ببرمجية Lumma Stealer في فبراير 2026 بعد بحثه عن أدوات لاختراق ألعاب مثل Roblox. هذه الإصابة اعتُبرت “المريض صفر” الذي أطلق سلسلة من الهجمات، حيث استغل المهاجمون وصول الموظف إلى Google Workspace للانتقال لاحقًا إلى حسابات Vercel.
تهديدات تكامل OAuth ومخاطر “Shadow AI”
أشارت Vercel إلى أن المهاجمين استغلوا تكاملات OAuth للوصول إلى بيئات داخلية وفك تشفير متغيرات غير حساسة، لكن سرعة تحركهم داخل الأنظمة كانت لافتة. خبراء الأمن حذروا من أن هذه التكاملات، رغم فائدتها في تقليل الاحتكاك، قد تمنح المهاجمين ثقة ضمنية تسمح لهم بتجاوز بعض الضوابط الأمنية. كما أثارت الحادثة جدلًا حول ما إذا كان استخدام موظفي Vercel لأدوات Context AI Office Suite مصرحًا به أم مجرد حالة من Shadow AI، أي استخدام أدوات ذكاء اصطناعي غير معتمدة رسميًا داخل بيئات SaaS، وهو ما يزيد من المخاطر الأمنية.
دلالات الحادثة على الأمن السحابي
أكدت شركة Tanium أن ما يميز هذه الهجمات ليس حجم البيانات المسربة، بل سرعة المهاجمين وقدرتهم على استكشاف البيئات الداخلية قبل اكتشافهم. هذا التحول يفرض على فرق الدفاع السيبراني التركيز على تحديد نطاق الاختراق بسرعة وتقليل الأثر بدلًا من الاكتفاء بمحاولات المنع التقليدية. من جانبه، شدد الرئيس التنفيذي لـ Vercel، غييرمو راوش، على أن المهاجمين لا يقتصر نشاطهم على اختراق Context.ai، بل يسعون إلى توزيع برمجيات خبيثة تستهدف رموز الوصول القيمة مثل مفاتيح حسابات Vercel ومزودي الخدمات الآخرين.
