过去30天,4起重大安全事件共享同一攻击路径:没人攻破核心系统,全是借道第三方集成。信任继承(trust inheritance)正在取代漏洞利用,成为2026年供应链攻击的主流形态。
攻击链复盘:不是平台被破,是信任被借
事件起点不在Vercel内部。攻击者先拿下Context.ai——一款AI生产力工具——从中继承OAuth令牌,再凭此穿透Vercel的信任边界。
网络安全公司Hudson Rock在披露前一个多月就已识别出信息窃取日志。若当时撤销凭证,整条攻击链直接断裂。
关键细节:Vercel员工的操作毫无异常。用工作账号注册AI工具,全球数百万开发者每天都在做。这正是问题所在。
OAuth令牌本质是便携身份包。2026年的攻击者无需钓鱼密码,只需攻破正确的集成点,剩下的交给OAuth自动完成。
明文变量的连锁反应
Vercel对标记为"敏感"的环境变量做静态加密,但"非敏感"变量以明文存储。攻击者利用这些明文变量完成横向移动。
教训不限于Vercel:只要攻击者能触及,就是敏感数据。分类必须是动态的、上下文感知的,而非写死的一次性判断。
"敏感"的威胁模型不能在创建时定义后就搁置。访问路径会变,集成授权会扩张。半年前低风险的变量,六个月后可能就坐在被攻陷的OAuth令牌两步之外。
过去30天的四连击:同一剧本的变奏
事件一:Axios供应链投毒
攻击者窃取核心维护者jasonsaayman的长期有效npm令牌,发布两个后门版本(1.14.1和0.30.4)。植入幽灵依赖plain-crypto-js@4.2.1,通过postinstall钩子静默部署跨平台远程控制木马,覆盖macOS、Windows、Linux。
攻击者没有击败OIDC(开放ID连接,一种身份验证协议),而是从并存的遗留令牌旁走过。安全栈"正确"部署,但全部失效。
事件二:Trivy→LiteLLM双阶段链
3月19日:威胁组织TeamPCP利用配置错误的pull_request_target工作流,攻陷trivy-action GitHub Action,窃取Aqua Security机器人的个人访问令牌。重写发布标签,向Trivy(广泛使用的开源安全扫描器)注入凭证收割器。
3月24日:LiteLLM的CI/CD流水线运行Trivy作为构建环节,被攻陷的Action窃取其PyPI发布令牌。
攻击者没碰LiteLLM的代码库,也没碰Trivy的源代码。他们污染了两者之间的工具链——一个被数百万项目信任的"安全"扫描器。
事件三:LangChain生态的依赖混淆
攻击者在PyPI发布恶意包langchain-experimental-0.3.15,利用Python的松散包解析规则,使依赖langchain-experimental>=0.3.0的项目自动拉取恶意版本。安装脚本检测运行环境,针对Jupyter Notebook和云函数环境定制载荷。
没有社会工程,没有凭证窃取。纯粹利用生态系统的包解析行为。
2026攻击模式的四个特征
对比四起事件,攻击形态已清晰:
1. 零漏洞化
没有零日漏洞,没有容器逃逸。攻击面完全转移:从"你的代码有没有漏洞"变成"你的集成有多可信"。
2. 令牌即目标
长期有效的个人访问令牌、OAuth令牌、发布令牌成为核心资产。这些令牌往往比密码权限更广、存活更久、监控更弱。
3. 工具链即战场
攻击者不再直接瞄准终端项目,而是污染中间层:安全扫描器、构建工具、AI辅助开发工具。这些工具拥有跨组织的访问特权,却极少被当作攻击面管理。
4. 分类失效
静态敏感数据分类在动态攻击链面前失效。明文存储的"非敏感"变量成为横向移动跳板,"遗留"令牌绕过现代身份架构,松散配置的CI/CD工作流成为特权升级通道。
防御体系的结构性缺陷
当前安全架构的设计假设正在被逐一击穿:
假设一:边界防御足够
Vercel的加密、Axios的OIDC、LiteLLM的密钥管理都符合最佳实践。但攻击者从未正面冲击这些防御,而是从信任的第三方侧翼切入。
假设二:令牌生命周期可控
npm令牌、PyPI令牌、GitHub个人访问令牌的实际存活周期远超理论值。维护者轮换、项目转手、令牌遗忘——长期令牌在暗处累积。
假设三:工具链可信
Trivy是安全扫描器,Context.ai是生产力工具。组织采购评估关注功能,极少审查这些工具自身的供应链安全态势。当工具被攻陷,其跨组织访问权限成为攻击放大器。
假设四:敏感性是静态属性
环境变量的敏感等级在创建时标注,但访问路径持续演化。今天的低风险变量,明天可能通过新集成的OAuth令牌暴露给外部系统。
重构防御:从代码安全到关系安全
四起事件指向同一结论:2026年的安全核心不是"我的代码安全吗",而是"我的关系网络可信吗"。
关系清单化
建立完整的第三方集成清单,包括直接依赖和间接工具链。每个集成点需记录:权限范围、令牌类型、最后轮换时间、供应商安全响应历史。
令牌最小化与动态化
推动所有发布令牌、访问令牌向短期凭证迁移。对无法替换的长期令牌,实施强制轮换周期和异常使用监控。Hudson Rock的案例表明,信息窃取日志的及时响应可阻断完整攻击链。
工具链安全评估
将CI/CD工具、安全扫描器、AI辅助开发工具纳入攻击面管理。评估标准包括:供应商的漏洞响应速度、签名验证机制、供应链透明度(SLSA等级)。
动态敏感分类
环境变量的敏感等级需随访问路径重新评估。实施自动化扫描,识别"非敏感"变量的实际暴露面——哪些集成可读取、哪些网络路径可达、是否存在于日志或备份中。
集成行为监控
OAuth授权和令牌使用需建立行为基线。异常模式包括:新地理位置访问、权限范围扩展请求、非工作时段的高频API调用。
为什么这件事重要
供应链攻击的形态正在从"利用漏洞"转向"继承信任"。这一转变的隐蔽性在于:防御体系的设计假设未被挑战,而是被绕过。
Vercel事件不会是个案。AI工具的普及正在爆炸式增长开发者集成点,每个集成都是潜在的信任继承通道。当攻击成本从"寻找零日漏洞"降为"注册一个流行SaaS的账号",攻击面的扩张速度远超防御体系的适应能力。
对技术团队的具体行动:本周内审计所有第三方OAuth授权,识别长期未轮换的发布令牌,将CI/CD工具链纳入漏洞管理范围。信任继承攻击的窗口期正在缩短——从信息窃取日志出现到凭证被利用,Hudson Rock的数据表明平均间隔超过30天。这30天是目前少数仍可操作的防御时间。
热门跟贴