Vercel + Lovable 安全漏洞:AI 工具如何成为 Web3 新的供应链风险
2026 年 4 月的一个星期内,两起看似无关的 SaaS 事件相互交织,这种方式应该重置每个 Web3 团队的威胁模型。Vercel——成千上万个钱包 UI 和 dApp 前端的部署平台——透露一名攻击者通过一个名为 Context.ai 的受损 AI 生产力工具渗透到了其环境中。几天后,vibe-coding 平台 Lovable 被发现因一个未修复的授权漏洞,泄露了 2025 年 11 月之前的数千个项目的源代码、数据库凭据和 AI 聊天记录。这两个故事没有共同的基础设施。它们共享一个更糟糕的特质:相同的爆炸模式,即 AI 工具悄然成为开发人员工具链中的特权身份——而 Web3 在从未对其定价的情况下继承了这种风险。
智能合约审计、多签治理、硬件钱包签名——当攻击者入侵交付用户交易批准 UI 的构建流水线时,这些防御手段都无法起到阻挡作用。2026 年 4 月让这一鸿沟变得清晰可见。行业是将其视为警钟,还是将其视为又一次被消化的损失,取决于下一个季度的表现。
Vercel-Context 链�:一次 OAuth 点击,数百个前端受损
Vercel 2026 年 4 月 19 日的事故报告 读起来就像是 OAuth 蔓延的教科书案例。攻击并非始于 Vercel。它始于几个月前的 2026 年 2 月,当时一名 Context.ai 员工安装了一个带有 Lumma Stealer 的 Roblox 外挂,并丢失了其 Google Workspace 凭据,以及 Supabase、Datadog 和 Authkit 的密钥。
这本身只是一个常规的凭据窃取故事。使其成为多组织供应链攻击的原因是 OAuth 的作用域。至少有一名 Vercel 员工此前曾使用其 Vercel 企业版 Google 账户注册了 Context.ai 的 “AI Office Suite” 并点击了 “允许所有”——授予了 Context.ai 在 Vercel 的 Google Workspace 中持久且广泛的权限。当攻击者接管 Context.ai 的 OAuth 应用时,他们自动继承了这种信任。从那里,他们渗透进该员工的 Vercel 工作区账户,随后进入 Vercel 环境,枚举并解密了非敏感的环境变量。
一个名为 ShinyHunters 的威胁行为者 在 BreachForums 上以 200 �万美元的价格挂出了生成的数据库。Vercel 坚称标记为 “敏感(sensitive)” 的变量仍处于加密状态且未被读取。这一区别的重要性远不如这个问题:部署到 Vercel 的 Web3 项目中,到底有多少真正将其 RPC 密钥、API 令牌和索引器密钥标记为敏感?从争先恐后更换凭据 的情况来看,答案是:并非全部。
Solana DEX Orca 确认 其前端运行在 Vercel 上,并作为预防措施更换了每个部署凭据。Cork Protocol 的 CTO 公开敦促用户暂停与 Vercel 托管的 DeFi 应用的交互,直到项目有时间更换。链上协议和用户资金没有受到直接影响——但从受损的 Vercel 部署到向连接钱包发送的恶意 “批准无限额” 交易,这一路径并不经过智能合约审计。它绕过了 Web3 建立的每一道防线。
为什么 “前端安全” 是 Web3 忘记审计的层级
五年来,加密领域主流的安全叙事一直是:“智能合约持有资金,所以要审计智能合约。” 当 DeFi 规模尚小且前端是 IPFS 上的薄静态页面时,这很有道理。但这并不适用于今天的行业,如今的钱包 UI 从 Vercel、Netlify、Cloudflare Pages 和 AWS Amplify 交付;签名负载在通过 CDN 送达的 JavaScript 中构建;一个恶意的捆绑包可以在不破坏 TLS 的情况下抽干用户的资金。
Web3 前端受损的历史虽短,但足以推断出其代价之昂贵:
- 2022 年 8 月,Slope 钱包:一个配置错误的 Sentry 集成 静默地将 Slope 移动钱包用户的私钥材料传输到了应用程序监控服务。攻击者在大约四小时内从 9,231 个钱包中抽走了 410 万美元。“漏洞” 只是一个拥有过多访问权限的常规遥测工具——这正是 OAuth 蔓延模式。
- 2023 年 12 月,Ledger Connect Kit:一名 Ledger 前员工被钓鱼骗取了其 NPM 会话令牌,绕过了双重身份验证(2FA)。攻击者将恶意的钱包抽干程序作为 @ledgerhq/connect-kit 1.1.5–1.1.7 版本推送。该软件包上线了五小时,活跃抽水两小时,影响了多达 100 多个 dApp 前端。大约 60 万美元被盗——之所以损失较小,只是因为有人发现得快。
- 2024 年 7 月,Squarespace DNS 劫持:Squarespace 域名账户创建中的一个迁移缺陷 让攻击者可以为从 Google Domains 迁入的域名注册管理员邮箱,而无需邮件验证。Compound 和 Celer Network 的前端被重定向到了钱包抽干程序。Decrypt 报道 称,此后数周内有 220 多个 DeFi 协议仍处于风险之中。
这些事件中的每一个都有一个共同点:堆栈中的非区块链层——遥�测、包注册表、DNS——遭到了破坏,而智能合约审计对此无能为力。2026 年 4 月又为这个名单增加了两个新层级:作为 OAuth 身份运行的 AI 生产力工具(Vercel)和 存储客户代码与凭据的 AI 编码平台(Lovable)。
Lovable 的 BOLA 漏洞:48 天、800 万用户与“故意行为”
在 Vercel 正在重建其 OAuth 爆炸半径的同时,Lovable —— 一家估值 66 亿美元、拥有 800 万用户 的“氛围编程(vibe-coding)”平台 —— 也披露了自身的安全事件。该漏洞是一个失效的对象级授权(BOLA)缺陷:一个 API 端点在没有所有权验证的情况下暴露了用户数据。一个免费账户加上五次 API 调用就足以读取其他用户的个人资料、项目源代码以及嵌入在源代码中的数据库凭据。
据报道,该漏洞在披露前 48 天已被 HackerOne 分拣人员关闭,原因是暴露的数据处于一个“公共(public)”标记之下,而 Lovable 后来承认该标记的含义“不明确”。在那段窗口期内,该平台上所有 2025 年 11 月之前的项目都是可访问的。AI 聊天记录、客户源代码以及源代码中嵌入的凭据 —— 包括数据库、支付 API,以及最重要的,区块链 RPC 端点 —— 任何愿��意编写脚本调用接口的人都可以对其进行枚举。
Lovable 在 X 上的初步回应 否认了任何“数据泄露”,并将其重新定义为“故意行为”,这正是最令 Web3 构建者担心的部分。这表明 AI 编程平台的运营假设尚未吸收其用户继承的威胁模型。当一个 Web3 团队使用 Lovable 搭建前端脚手架时,原型设计期间嵌入的凭据并不会消失。它们存在于平台中,被索引、可检索,且截至 2026 年 4 月 —— 至少有 48 天的时间 —— 任何拥有免费账户的人都可以访问。
OAuth 蔓延的乘数效应:为什么“仅轮换密钥”还不够
这两起事件都指向同一个根本原因:AI 工具在组织内部被授予了持久的、跨应用的 OAuth 权限范围,而这些组织并未对哪些权限授予了哪些应用进行清点。 最近的企业数据强调了这一规模:98% 的组织报告了未经许可的 AI 使用,平均每个企业现在运行超过 830 个应用程序,其中 61% 在正式的 IT 监管之外运行。当一个 AI 工具被攻破时,曾经授予它的每一个 OAuth 权限都会成为攻击者的触达范围。
Push Security 对 Vercel 事件的事后分析 直言不讳地指出:攻击之所以成功,是因为 Vercel 的身份模型对待第三方 AI 应用的方式与对待员工完全相同。没有针对“该工具被允许读取日历,而不是枚举环境变量”进行权限缩减。这并非 Vercel 特有的失败。这是过去 18 个月中集成了 AI 助手的几乎每个 Google Workspace、Microsoft 365 和 Okta 租户的默认状态。
对于 Web3 团队来说,这意味着 在发生 Vercel 级别的泄露后轮换密钥是必要的,但并不充分。 攻击向量 —— 向 AI 工具过度授予 OAuth 权限 —— 持续存在于供应链中的每个 SaaS 提供商中。一个在 4 月轮换了 Vercel 部署凭据,但仍拥有一个具有完整云端硬盘访问权限的 AI 会议记录应用的团队,距离重蹈覆辙仅差一次信息窃取程序的感染。
一个真正受保护的 Web3 前端是什么样的
目前存在一些防御模式,如果结合使用,本可以中和 Vercel 级和 Lovable 级的事件。但目前这些都不是强制性的。
针对钱包 UI 捆绑包的子资源完整性(SRI)哈希。 SRI 是 W3C 的一项建议,允许浏览器在执行提取的资源之前验证其是否与加密哈希匹配。如果在发布完整性哈希后修改了 Vercel 部署(例如,被进入构建流水线的攻击者修改),浏览器将拒绝加载。SRI 自 2016 年以来就已存在,且支持起来非常简单。几乎没有 Web3 前端在其主捆绑包中使用它,因为主捆绑包在每次部署时都会更改,并且必须有人管理哈希轮换。
链上前端清单(On-chain frontend manifests)。 ENS contenthash 记录和 IPFS CID 允许项目在链上锚定“这是协议 X 的规范前端”。在加载 UI 之前咨询清单的钱包可以检测到所服务的捆绑包是否与发布的 CID 不匹配。EIP-2477 针对代币元数据探索了这一点,同样的想法也可以推广到 dApp 前端。目前的采用集中在已经仅通过 IPFS 发布的项目中(Uniswap 的 IPFS 部署就是明显的例子),而在其他地方则几乎绝迹。
客户端交易模拟。 像 Rabby 和 Wallet Guard 这样的钱包在签名之前会模拟每笔交易,并将实际的资产转移展示给用户。这虽然不能阻止 Ledger Connect Kit 攻击者的资产清空逻辑运行,但它能让用户在点击确认之前有机会看到“这将把你所有的 USDC 余额转移到 0x未知地址”。采用率正在上升,但仍是逐个钱包推进,而非逐个协议。
硬件钱包“所见即所签”显示。 像 Ledger Stax 和 Keystone 这样的设备会解析调用数据(calldata),并在设备屏幕上渲染人类可读的意图,从而击败 UI 层的钓鱼攻击。这仅在合约发布了明文签名模式(clear-signing schema)时有效。而大多数合约并没有这样做。
这四种防御措施的共同点是:它们存在,它们有效,但默认情况下并未部署。它们需要投入工程时间,而这往往会与交付产品功能相竞争。而且它们所防止的最坏情况 —— 大规模资产排空 —— 在 2026 年 4 月之前,大多�只发生在“别人”身上。
拐点之问
Web3 历史上通常需要超过 5,000 万美元的用户资金损失,才能促使行业采用新的防御性默认标准。2016 年 DAO 黑客攻击后,审计成为了入场门槛。2022 年 Ronin 和 Wormhole 漏洞被利用后,多签(Multisig)治理从可选变成了强制。在 Mt. Gox 和数十起交易所遭入侵事件后,硬件钱包也实现了普及。
2026 年 4 月的双重违规事件并未产生 5,000 万美元的损失。Vercel 的攻击者获取的是环境变量,而不是用户资金。Lovable 的泄露暴露了源代码,而不是已签名的交易。这两次都是鸣枪示警——相当于没有被利用的漏洞披露,只不过漏洞存在于信任关系本身,而不是任何可以修复的代码库中。
下一个季度的关键问题是,Web3 的开发者们能否正确评估这一警告,还是非要等到损失发生。前端安全——SRI(子资源完整性)、链上清单、交易模拟、清晰签名——其现状与 2017 年的智能合约审计如出一辙:技术上可行,但在文化上是可选的,且即将被重新归类为显而易见的必要项。不同之处在于,教训的代价是由用户支付的,而不是协议。
先行一步的团队将承担一个季度的工程成本。而等待的团队将承担首个 5,000 万美元以上 Vercel 级资产流失所带来的一切代价:包括用户流失、监管风险,以及他们将持续撰写数月之事后分析报告。
BlockEden.xyz 在 12+ 条区块链 上运行生产级 RPC 和索引基础设施,具备环境隔离、作用域 API 密钥和轮转工具,专为将前端安全视��为头等大事的团队设计。在假设供应链存在敌意的前提下构建基础设施。
来源
- Vercel 2026 年 4 月安全事件 — Vercel 知识库
- 与 Context AI 黑客攻击相关的 Vercel 违规事件暴露了有限的客户凭据 — The Hacker News
- AI 云公司 Vercel 在员工授予 AI 工具无限制访问权限后遭到入侵 — Tom's Hardware
- Web3 托管中枢 Vercel 确认遭到入侵,黑客索要 200 万美元赎金 — The Block
- Vercel 遭黑客攻击导致加密货币开发者争相锁定 API 密钥 — CoinDesk
- Orca:针对 Vercel 安全事件已轮转密钥和凭据 — X
- 解构 Vercel 违规事件:影子 AI 与 OAuth 扩张 — Push Security
- Lovable 安全危机:暴露项目的 48 天 — The Next Web
- Lovable 缺陷暴露了源代码、凭据和 AI 聊天记录 — Computing
- Vibe coding 新贵 Lovable 否认数据泄露,称其为“有意为之” — The Register
- Slope 钱包事件更新 — Solana
- 针对 Ledger 加密钱包的供应链攻击 — TechCrunch
- Squarespace 迁移与 DNS 劫持有关 — The Register
- 超过 220 个 DeFi 协议仍面临来自 Squarespace DNS 劫持的风险 — Decrypt
- 2026 年顶级 AI 安全风险 — Grip Security
- SaaS 中的影子 AI 风险 — BetterCloud
- 子资源完整性 — MDN Web Docs
- EIP-2477:代币元数据完整性