Bruddet begynte ikke hos Vercel. Det begynte hos Context.ai, et nedlagt KI-kontorverktøy, der en ansatt skal ha blitt smittet av en infostealer mens vedkommende lette etter Roblox-juks. Infostealeren høstet lagrede OAuth-tokener. Én av dem tilhørte en Vercel-ansatt som hadde testet Context.ai måneder tidligere og glemt det, men OAuth-tilgangen til Google Workspace levde videre. Det er Push Securitys analyse av hendelsen, gjengitt av Cybersecurity Insiders.
Den ene tilgangen bar med seg interne dashbord, ansattdata, API-nøkler, NPM-tokener og GitHub-tokener rett til angriperen. Vercel var aldri kunde hos Context.ai. Angriperen trengte heller ikke å phishe noen hos Vercel: tokenene lå allerede i Context.ais lager, klare til å spilles av mot nedstrømskontoene.
Dette er mønsteret som skiller shadow AI fra gammeldags shadow IT. En vanlig SaaS-app du registrerer deg på, blir liggende inne i appens egen konto. En KI-app bygget rundt arbeidsflyt-automatisering er derimot konfigurert til å nå inn i de andre appene dine via OAuth. Push kaller den bærende kategorien «shadow integrations», OAuth-koblinger som overlever selv når appen som opprettet dem er glemt.
Og dette er ikke et KI-spesifikt problem. Push peker på 2025-kampanjen fra Scattered Lapsus$ Hunters, som brukte samme OAuth-pivot mot Salesloft Drift og Gainsight, traff over 1 000 organisasjoner og hentet ut mer enn 1,5 milliarder rader fra ofre som Google, Cloudflare og Palo Alto Networks. Selskapet har også observert en 37-dobling år over år av device-code-phishing.
Hva bør du gjøre?
- Sett OAuth-samtykke i Google Workspace og Microsoft 365 til default-deny, slik at en bruker ikke kan gi en ny app tilgang uten admin-godkjenning. Bruddet var stoppbart akkurat her.
- Gå gjennom aktive OAuth-tilganger kvartalsvis og trekk tilbake de ubrukte, og start med apper ingen har åpnet på 30 dager.
- Behandle ny KI-app som en tredjepartsrisiko-beslutning, ikke en produktivitetsbeslutning: hver app du kobler til, arver sikkerhetsnivået til leverandøren bak.