Сотрудник Context.ai (стартап ИИ-ассистентов) скачал чит для Roblox на рабочий ноутбук в феврале 2026. Через 10 недель злоумышленники продают на BreachForums (форум торговли украденными данными) 580 записей сотрудников Vercel (облачная платформа хостинга веб-приложений), токены NPM и GitHub — за $2 млн. Vercel никогда не был клиентом Context.ai. Один OAuth-плагин в браузере одного сотрудника — и атака пересекла четыре организационные границы.
📌 Цепочка атаки
Февраль 2026: Lumma Stealer (вредоносная программа, ворует пароли и токены из браузера) попадает на машину сотрудника Context.ai через игровой чит → угнаны Google Workspace, AWS-ключи, токены.
Март: компрометация OAuth-приложений Context.ai в Google Workspace.
Апрель: сотрудник Vercel ставит расширение Context.ai в браузер и даёт ему широкие OAuth-права ("Allow All" на практике) на корпоративный Google-аккаунт.
19 апреля: атакующий продаёт данные Vercel за $2 млн.
⚡️ Что утекло
580 записей сотрудников, NPM- и GitHub-токены, фрагменты исходного кода, переменные окружения, не помеченные как "sensitive" (хранились в открытом виде). Next.js (React-фреймворк, ~6 млн загрузок в неделю), Turbopack и AI SDK не пострадали — аудит подтвердили GitHub, Microsoft, npm и Socket.
🔗 Как происходит эскалация
OAuth-токен (цифровой ключ, позволяющий приложению действовать от имени пользователя без пароля) дал атакующему права сотрудника Vercel в Google Workspace: чтение почты и Drive, доступ к связанным сервисам. Через эти каналы были получены токены и ключи. Внутри Vercel атакующий прочитал переменные окружения "non-sensitive" — там лежали NPM- и GitHub-токены, открывавшие путь к репозиториям и инфраструктуре доставки кода.
🔥 Где архитектура треснула
Широкие OAuth-разрешения — пользователь нажимает "разрешить" на список прав, не понимая их объёма.
Переменные "non-sensitive" в открытом виде — удобство разработчика стало точкой эскалации.
Никто не аудитит сторонние приложения — какие сервисы держат OAuth-токены к корпоративному Workspace и с какими правами.
⚠️ Это паттерн, не разовый случай
В августе 2025 группировка UNC6395 через Salesloft Drift (ИИ-чат-бот для продаж) скомпрометировала 700+ организаций — Cloudflare, Google, Palo Alto Networks, Tanium, Zscaler, Workday. OAuth-токены дали доступ к CRM и облачной инфраструктуре. Механика та же: инфостилер у вендора → токены → доступ к клиентам. Корень в обоих случаях — не ИИ, а инфостилеры на машинах вендоров плюс OAuth-токены без аудита и ротации.
🤖 Что важно понять:
Защита периметра (фаервол, VPN) от такой атаки бесполезна — атакующий заходит через доверенный канал, открытый одним кликом сотрудника. Главная уязвимость 2026 года — список сторонних приложений с доступом к корпоративному Google Workspace или Microsoft 365. OAuth-токены сегодня — пропуски без журнала посещений и без срока действия по умолчанию. Кто узнает об этом первым: вы или хакер на BreachForums?
Источники: TechCrunch | Vercel hacked via Context AI breach · The Hacker News | Vercel Breach Tied to Context AI · Vercel | Official Security Bulletin · Google Cloud | Salesloft Drift OAuth campaign
Похожие материалы
ИИ в кибербезопасности ускоряет ваш SOC — вместе с его проблемами
июль 15, 2026
📗🌐 Глоссарий — "Деньги 2.0" | Выпуск #3.5: Два контура мировых финансов: биткоин против CBDC
июль 15, 2026
Государство обязало систему eGov фиксировать обращения к персональным данным
июль 15, 2026