Il recente incidente di sicurezza che ha coinvolto Vercel rappresenta un caso studio fondamentale per comprendere le nuove vulnerabilità sistemiche che affliggono le infrastrutture cloud moderne, evidenziando in particolare un “angolo cieco” critico nella gestione delle autorizzazioni OAuth e nell’adozione incontrollata di strumenti basati sull’intelligenza artificiale. L’evento non è stato il risultato di una falla diretta nel codice di Vercel, bensì la conseguenza di una catena di compromissioni iniziata ai margini dell’ecosistema aziendale, attraverso un fornitore terzo di strumenti AI. Questa dinamica sottolinea come il perimetro di sicurezza di un’azienda non sia più definito dai propri server, ma dall’intera rete di integrazioni e permessi concessi dai singoli dipendenti.
L’origine della violazione è stata tracciata fino a una singola stazione di lavoro appartenente a un dipendente di Context.ai, una startup che fornisce strumenti di produttività basati su intelligenza artificiale. Secondo i rapporti forensi, la compromissione iniziale è avvenuta tramite un malware di tipo “infostealer”, nello specifico Lumma Stealer, introdotto nel sistema a causa del download di script non autorizzati legati al mondo del gaming. Una volta infettata la macchina, l’attaccante ha ottenuto l’accesso alle credenziali amministrative di Context.ai, incluse le chiavi per i loro ambienti AWS e, cosa più grave, i token di accesso per le loro applicazioni OAuth. Il punto di rottura definitivo per Vercel si è verificato quando un proprio dipendente ha installato un’estensione browser di Context.ai, effettuando l’accesso con il proprio account Google Workspace aziendale e concedendo permessi estremamente ampi tramite il protocollo OAuth.
L’attaccante, avendo compromesso l’infrastruttura di Context.ai, è stato in grado di dirottare questi token di accesso legittimi. Questo ha permesso di scavalcare completamente i sistemi di autenticazione a più fattori di Vercel, poiché il protocollo OAuth, una volta autorizzato, permette un’interazione diretta tra applicazioni senza richiedere costantemente l’intervento dell’utente. Entrato nel Workspace di Vercel con l’identità del dipendente, l’attaccante ha effettuato un movimento laterale verso l’infrastruttura di produzione. Qui, la strategia di escalation dei privilegi si è concentrata sulla ricerca di variabili d’ambiente non classificate come sensibili. In molte piattaforme cloud, queste variabili possono contenere segreti, chiavi API o stringhe di connessione ai database che, se non esplicitamente protette, rimangono leggibili in chiaro tramite dashboard o API di gestione.
Un elemento di particolare preoccupazione emerso dall’indagine riguarda il tempo di permanenza dell’attaccante all’interno dei sistemi, il cosiddetto “dwell time”. Mentre la compromissione di Context.ai era stata rilevata internamente già nel marzo 2026, la notifica a Vercel e la successiva scoperta dell’intrusione nei suoi sistemi sono avvenute con settimane di ritardo. Questo divario temporale ha offerto agli attori malevoli una finestra operativa estesa per mappare l’infrastruttura, esfiltrare dati e tentare l’escalation dei privilegi. Inoltre, la velocità dell’attacco suggerisce l’impiego di strumenti di automazione potenziati dall’intelligenza artificiale, capaci di analizzare volumi massicci di variabili e configurazioni in frazioni di secondo per individuare la via di minor resistenza verso il cuore del sistema.
L’incidente ha spinto Vercel a implementare cambiamenti strutturali immediati, come la modifica delle impostazioni predefinite per le variabili d’ambiente, che ora sono trattate come “sensibili” e criptate per impostazione predefinita, rendendole illeggibili anche a chi possiede un accesso amministrativo alla dashboard. Tuttavia, la lezione più profonda riguarda la governance delle identità. La maggior parte dei team di sicurezza non possiede oggi una visibilità completa su quante e quali applicazioni terze i dipendenti colleghino ai propri account aziendali. Questo “Shadow AI” o “Shadow SaaS” crea una superficie d’attacco frammentata dove un singolo permesso eccessivo concesso a un’applicazione apparentemente innocua può trasformarsi in un varco d’accesso a privilegi elevati nell’intera infrastruttura cloud.