2026. április 19-én a Vercel megerősítette: egy harmadik fél AI-eszköz, a Context.ai kompromittálódásából indult a betörés. 580 alkalmazott adata, NPM-tokenek, GitHub-tokenek, forrás-kód a BreachForumson. A támadás technikailag egyszerű, üzletileg súlyos. A támadási lánc minden középvállalatra kiterjeszthető.
01 — A láncA támadási mintázat lépésről lépésre.
A kiindulópont egy Context.ai-alkalmazott otthoni gépén történt. Az alkalmazott game exploit-okat töltött le — a kód malware-t tartalmazott. A malware ellopta a Google Workspace-belépési adatait és más alkalmazás-tokeneket.
A támadó a Context.ai munkatárs Google Workspace fiókján keresztül átvette a Vercel Google Workspace OAuth-jogosultságait. A Vercel-rendszerbe való belépést követően az attacker hozzáfért olyan environment variables-ekhez (környezeti változók), amelyek nem voltak „sensitive"-ként megjelölve, így nem voltak titkosítva nyugalmi állapotban.
A BreachForumson áruba bocsátott zsákmány: API-kulcsok, NPM-tokenek, GitHub-tokenek, forrás-kód, adatbázis-rekordok, és 580 Vercel-alkalmazott személyes adata.
02 — MintázatMiért most és miért így.
Az AI-eszközök robbanásszerű terjedése egy konkrét mellékhatást hozott. Minden AI-segéd (transcription, meeting note, kódjavaslat, marketing-automatizáció) OAuth-engedélyt kér valamilyen mértékben. „Hozzáférés a naptárhoz", „hozzáférés a Drive-hoz", „hozzáférés a Gmail-hez". Ezek nem önmagukban veszélyesek — addig, amíg egyetlen ilyen eszköz nem kompromittálódik.
A támadási mintázat új neve: AI Supply Chain Attack. A felhasználó nem rosszul telepít, nem rosszra kattint. A kockázat a harmadik fél biztonsági higiénéjében van — amit a felhasználó nem lát, és nem ellenőriz.
03 — Magyar tükörMit jelent a magyar középvállalatnak.
Egy középvállalatnál tipikusan 15–40 OAuth-kapcsolt eszköz fut a Google Workspace vagy Microsoft 365 fiókon. Marketing (HubSpot, Mailchimp, Notion AI), HR (BambooHR, Calendly), pénzügy (Quickbooks, Bill.com), fejlesztés (GitHub Copilot, Cursor, Replit). Mindegyik egy-egy potenciális belépési pont.
A NIS2 alá tartozó cégek esetében az ellátási lánc kockázat-felmérése jogi kötelezettség (jelentős vagy magas biztonsági osztály). A NIS2 alá nem tartozó középvállalatoknál ez „csak" üzleti kockázat — de a Vercel-incidens után a partnerek és ügyfelek elkezdik kérdezni.
04 — AkciótervMit nézzen át ma délután.
Hat-tételes OAuth-higiéniai lista:
- OAuth-leltár — a Google Workspace Admin / Microsoft Entra felületen a „Third-party apps with access" szekció kilistázza az összes eszközt. Egy átlagos cégnél 50–150 között van.
- Inaktív eszközök eltávolítása — amit utoljára 2024-ben használtak, törölni kell.
- OAuth-scope-ok felülvizsgálata — minden eszköznél a legkisebb szükséges hozzáférés elve. „Read full Drive" → „Read specific folder".
- Environment variables klasszifikálása — minden CI/CD és cloud-platformon a titkok jelölése „sensitive"-ként, encryption at rest engedélyezése.
- Token-rotációs ütemterv — API-kulcsok, NPM-tokenek, GitHub-tokenek 90 naponta cserélve. Régi tokenek visszavonva.
- Incidens-bejelentési protokoll — ha egy harmadik fél bejelent kompromittálódást, ki értékeli, ki dönt, ki kommunikál. Tabletop exercise minimum félévente.
05 — EllenérvekÖrdög ügyvédje.
A támadás nem a Vercel hibája volt — a Context.ai egy alkalmazott otthoni gépén történt incidens triggerelte. Lehet ezt azzal söpörni, hogy „ezt nem tudtuk megelőzni". Részben igaz. Amit viszont meg lehetett volna előzni: a túl tág OAuth-scope. A Context.ai-nak nem kellett volna a Vercel környezeti változóihoz hozzáférnie.
A tanulság nem új: zero trust az ellátási láncban. Csak most már nem felhasználói hozzáférésekről, hanem AI-ügynökök hozzáféréseiről beszélünk.
- Vercel — April 2026 Security Incident bulletinHivatalos forrás
- Trend Micro — OAuth Supply Chain AttackIparági forrás
- Safe Security — The Vercel Breach 2026Iparági forrás