سقوط Vercel: كيف أدى زر 'السماح للكل' في أداة ذكاء اصطناعي إلى كارثة أمنية؟
"تحليل شامل لاختراق Vercel عبر أداة ذكاء اصطناعي، وكيف تسببت صلاحيات OAuth واسعة النطاق في تسريب متغيرات بيئة العملاء وعرضها للبيع مقابل 2 مليون دولار."
مقدمة تحليلية
في عالم الحوسبة السحابية الحديث، لم يعد الاختراق يتطلب دائماً ثغرة برمجية معقدة في النظام الأساسي؛ أحياناً يكفي موظف واحد يضغط على زر 'Allow All' في شاشة صلاحيات OAuth. تعرضت شركة Vercel، العملاق في مجال منصات الحوسبة (PaaS)، لخرق أمني خطير بدأ من أداة ذكاء اصطناعي تدعى Context.ai. لم يكن الهجوم مباشراً، بل كان هجوماً متسلسلاً عبر سلاسل التوريد (Supply Chain Attack)، حيث انتهى الأمر ببيانات بيئة العملاء (Environment Variables) معروضة للبيع في الأسواق السوداء مقابل 2 مليون دولار. هذه الحادثة تكشف هشاشة 'كدسة الهياج' (Hype Stack) الخاصة بالذكاء الاصطناعي، حيث يتم تفويض صلاحيات واسعة لأدوات ناشئة دون تدقيق أمني كافٍ.
تكمن خطورة هذا الاختراق في كونه يمثل نموذجاً لما سيكون عليه الأمن السيبراني في عام 2026؛ فجوة تبدأ من جهاز شخصي لموظف، وتمر عبر بروتوكولات التفويض السحابي، لتصل في النهاية إلى قلب البنية التحتية لشركة بمليارات الدولارات. التأثير لم يقتصر على تسريب البيانات، بل زعزع الثقة في كيفية تعامل المنصات الكبرى مع 'الأسرار' (Secrets) التي يودعها المطورون لديهم.
التحليل التقني
يمكن تفكيك هذا الاختراق إلى أربع طبقات تقنية مترابطة، كل واحدة منها مهدت الطريق للأخرى:
1. نقطة النهاية وبرمجية Lumma Stealer
بدأت الشرارة الأولى عند موظف في شركة Context.ai (المزود لأداة الذكاء الاصطناعي) قام بتحميل برمجية خبيثة مخبأة داخل 'سكربت' غش للعبة Roblox. البرمجية المستخدمة هي Lumma Stealer، وهي أداة لسرقة المعلومات (Infostealer) تُباع كخدمة مقابل 250 دولاراً شهرياً. تخصصت هذه البرمجية في حصد ملفات تعريف الارتباط (Cookies)، ورموز OAuth المخزنة في المتصفح، وبيانات مدير كلمات المرور. بمجرد إصابة الجهاز، حصل المهاجم على مفاتيح الوصول الخاصة بموظف Context.ai إلى حسابات الشركة.
2. تفويض OAuth الواسع (The Allow All Click)
هنا يأتي دور Vercel؛ حيث قام أحد موظفيها بتجربة أداة Context.ai مستخدماً حساب Google Workspace المؤسسي. عند ظهور شاشة موافقة OAuth، تم اختيار 'السماح للكل'. هذا الإجراء منح الأداة صلاحيات Gmail full access، وDrive read/write، والوصول إلى التقويم وجهات الاتصال. المشكلة التقنية هنا أن رموز التحديث (Refresh Tokens) في OAuth لا تنتهي صلاحيتها تلقائياً، مما مكن المهاجم (الذي يسيطر الآن على Context.ai) من الحفاظ على جلسة نشطة داخل حساب موظف Vercel حتى بعد تسجيل الخروج.
3. التحرك الجانبي عبر البريد الإلكتروني
بمجرد الدخول إلى حساب Workspace الخاص بموظف Vercel، استخدم المهاجم البريد الإلكتروني كمفتاح رئيسي (Master Key). معظم تدفقات استرداد الحسابات في منصات PaaS تعتمد على البريد. من خلال الوصول إلى الرسائل، تمكن المهاجم من العثور على دعوات لوحات تحكم الإدارة وروابط حساسة، مما سمح له بالانتقال من مجرد 'مستخدم بريد' إلى 'مسؤول' داخل بيئة Vercel التقنية.
4. فك تشفير المتغيرات 'غير الحساسة'
الصدمة الكبرى كانت في كيفية تعامل Vercel مع متغيرات البيئة. توفر المنصة نوعين: متغيرات حساسة (Sensitive) تُشفر بمفتاح منفصل ولا تظهر كـ Plaintext، ومتغيرات غير حساسة تُشفر عند الراحة ولكن يمكن لأي مستخدم لديه وصول للمشروع قراءتها. نظراً لأن الإعداد الافتراضي هو 'غير حساس'، فإن العديد من المطورين تركوا بيانات مثل DATABASE_URL وAPI Keys دون حماية إضافية، مما سمح للمهاجم باستخراجها بسهولة.
السياق وتأثير السوق
هذا الاختراق يعيد تسليط الضوء على مخاطر أدوات الذكاء الاصطناعي التي تطلب صلاحيات 'وكيل' (Agentic Permissions). شركات مثل Context.ai تحتاج للوصول إلى بيانات الشركة لتدريب نماذجها أو أداء المهام، ولكن هذا الوصول يخلق ثقباً أسود أمنياً. تاريخياً، كانت الاختراقات تستهدف الثغرات البرمجية (Zero-days)، أما اليوم، فالمهاجمون مثل مجموعة ShinyHunters يركزون على 'سرقة الهوية الرقمية' وسرعة التنفيذ التشغيلي.
في السوق، من المتوقع أن يؤدي هذا إلى تغيير جذري في سياسات Google Workspace؛ حيث ستتجه الشركات لفرض قيود صارمة على التطبيقات غير الموثوقة (Unverified Apps). كما سيواجه مزودو خدمات SaaS ضغوطاً لتقليل طلبات الصلاحيات، حيث سيصبح طلب 'الوصول الكامل للبريد' سبباً كافياً لرفض التعاقد من قبل فرق الأمن السيبراني في الشركات الكبرى.
رؤية Glitch4Techs
في Glitch4Techs، نرى أن هذا الحادث ليس مجرد خطأ بشري، بل هو فشل في التصميم الأمني الافتراضي (Security by Default). إن قيام Vercel بجعل خيار 'غير الحساس' هو الافتراضي للمتغيرات هو فخ للمطورين. نصيحتنا التقنية الصارمة هي:
- تدقيق الصلاحيات فوراً: يجب مراجعة صفحة myaccount.google.com/permissions وإلغاء أي تطبيق يمتلك صلاحيات واسعة ولم يتم استخدامه في آخر 30 يوماً.
- سياسة Zero Trust لـ OAuth: لا تعتمد على اسم التطبيق؛ راجع النطاقات (Scopes) المطلوبة بدقة.
- تشفير الأسرار: أي قيمة تمنح وصولاً لقاعدة بيانات أو خدمة خارجية يجب أن تُعامل كقيمة حساسة (Sensitive) بغض النظر عن سهولة الاستخدام.
إن تكلفة الاختراق (2 مليون دولار كمطلب فدية) هي تذكير بأن أمانك مرتبط بأضعف حلقة في سلسلة توريدك، وفي هذه الحالة، كانت الحلقة هي 'سكربت' ألعاب مراهقين.
كن أول من يعرف بمستقبل التقنية
أهم الأخبار والتحليلات التقنية مباشرة في بريدك.