لم يكن الأمر هجوماً معقداً بالمعنى التقليدي. موظف واحد في شركة Vercel استخدم أداة ذكاء اصطناعي خارجية، وموظف في تلك الأداة وقع ضحية برنامج سرقة بيانات، فكانت النتيجة باباً مفتوحاً مباشرة على بيئات الإنتاج في Vercel عبر صلاحية OAuth ممنوحة بشكل قانوني تماماً. الحادثة رصدتها منصة Bleeping Computer في تقرير موثق يستند إلى تحليل أمني مستقل.

ما الذي حدث بالضبط؟

وفقاً لتقرير Bleeping Computer، حصل مهاجم على بيانات موظف في إحدى شركات أدوات الذكاء الاصطناعي المرتبطة بـ Vercel، وذلك عبر برنامج infostealer يسرق بيانات الجلسات والرموز المحفوظة. هذه الرموز كانت تحمل صلاحيات OAuth صادرة بشكل شرعي، مما أتاح للمهاجم الدخول إلى بيئات Vercel دون الحاجة إلى كسر أي كلمة مرور أو تجاوز أي مصادقة ثنائية. الوصول بدا شرعياً من الخارج، حتى حين كان في يد المهاجم.

لماذا يُعدّ OAuth ثغرة صامتة؟

بروتوكول OAuth مصمم أصلاً لتسهيل الوصول الموثوق بين التطبيقات. لكن هذه الميزة تحديداً تجعله خطيراً حين يُخترق طرف ثالث. فرق الأمن لا تستطيع في الغالب رصد هذه الصلاحيات الموزعة عبر عشرات الأدوات الخارجية، ولا تحديد نطاقها بدقة، ولا احتواء تسربها في الوقت المناسب. هذا ما أكده التحليل الأمني المنشور على Bleeping Computer، الذي أشار إلى أن أنظمة المراقبة التقليدية تعجز عن التمييز بين وصول شرعي ووصول مخترق حين يكون الرمز نفسه صحيحاً.

أدوات الذكاء الاصطناعي توسّع سطح الهجوم

الحادثة تكشف نمطاً جديداً ومقلقاً: مع تبني الفرق التقنية لأدوات ذكاء اصطناعي متعددة، تتراكم صلاحيات OAuth الممنوحة لجهات خارجية، وكل جهة تصبح نقطة ضعف محتملة. المشكلة لا تكمن في الأداة ذاتها، بل في سلسلة الثقة الكاملة التي تبنيها هذه الصلاحيات. كل أداة جديدة تضيفها الفرق التقنية هي في الواقع امتداد لنطاق هجومك المحتمل.

وماذا يعني هذا لك؟

إن كنت تعمل في فريق تقني أو تُدير بنية تحتية رقمية، فأنت على الأرجح منحت عشرات الأدوات صلاحيات OAuth دون مراجعة دورية. الخطوة العملية الأولى هي مراجعة قائمة التطبيقات المرتبطة بحساباتك الآن، وسحب كل صلاحية لأداة لا تستخدمها بنشاط. لا تنتظر اختراقاً لتعرف من يملك مفاتيح بيئتك.

السؤال الذي تطرحه هذه الحادثة ليس كيف نمنع استخدام أدوات الذكاء الاصطناعي، بل كيف نبني ثقافة أمنية تواكب سرعة تبنّيها.

المصدر: تقرير Bleeping Computer حول اختراق Vercel عبر ثغرة OAuth، https://www.bleepingcomputer.com/news/security/vercel-breach-exposes-oauth-vulnerability-through-ai-tool-supply-chain/