كشف الرئيس التنفيذي لشركة Vercel، Guillermo Rauch، على منصة X عن تقدم التحقيق، مؤكّدًا أن منصة AI التابعة لجهة خارجية Context.ai التي يستخدمها موظفو Vercel قد تم اختراقها. حصل المهاجمون على بيانات اعتماد حسابات الموظفين عبر تكامل OAuth مع Google Workspace الخاص بالمنصة، ثم تمكنوا من الوصول إلى بعض بيئات Vercel الداخلية وإلى متغيرات بيئية لم يتم وسمها على أنها «حساسة».
سلسلة الهجوم: من اختراق OAuth لأداة AI إلى اختراق تدريجي لبيئة Vercel
وفقًا للتحقيق الذي أجرته Vercel، تتضمن مسار الهجوم ثلاث مراحل متصاعدة على نحو تدريجي. أولًا، تم اختراق تطبيق OAuth الخاص بـ Google Workspace في Context.ai ضمن هجوم سلسلة توريد أكبر نطاقًا حدث سابقًا، وقد يكون ذلك قد أثر في مئات المستخدمين من عدة مؤسسات. ثانيًا، من خلال اختراق Context.ai، سيطر المهاجمون على حسابات موظفي Vercel في Google Workspace، واستخدموا بيانات اعتمادها للوصول إلى الأنظمة الداخلية لدى Vercel. ثالثًا، استخدم المهاجمون أسلوب التعداد (التعداد/Enumerating) للحصول على مزيد من صلاحيات الوصول عبر متغيرات بيئية لم يتم وسمها على أنها «حساسة».
وأشار Rauch في الإعلان إلى أن سرعة تحركات المهاجمين «مذهلة»، وأن معرفتهم بأنظمة Vercel «عميقة جدًا»، مع تقييم أن من المرجح للغاية أنهم استفادوا من أدوات AI لرفع كفاءة الهجوم بشكل كبير.
الحدّ الأمني بين المتغيرات البيئية «الحساسة» و«غير الحساسة»
يُظهر هذا الحادث تفاصيل جوهرية حول آليات أمان متغيرات بيئة Vercel: يتم تخزين المتغيرات البيئية الموسومة على أنها «حساسة» بطريقة تمنع قراءتها، ولم يعثر التحقيق حاليًا على أي دليل على أن هذه القيم قد تم الوصول إليها. ما تم استغلاله من قبل المهاجمين هو متغيرات بيئية غير موسومة على أنها «حساسة»، ونجح المهاجمون عبر أسلوب التعداد في الحصول على صلاحيات وصول إضافية منها.
قامت Vercel بإضافة صفحة نظرة عامة على المتغيرات البيئية، وكذلك بواجهة لإدارة المتغيرات البيئية الحساسة بعد تحسينها، لمساعدة العملاء على تحديد قيم الإعدادات عالية الخطورة وحمايتها بشكل أوضح.
استجابة Vercel الطارئة وقائمة الإجراءات الموصى بها رسميًا
قامت Vercel بتعيين Google Mandiant وشركات أمن سيبراني أخرى، وأبلغت الجهات المختصة بإنفاذ القانون للتدخل. تم تأكيد أن Next.js وTurbopack وجميع المشاريع مفتوحة المصدر التابعة لـ Vercel آمنة عبر تحليل سلسلة التوريد، وتعمل خدمات المنصة حاليًا بشكل طبيعي.
إجراءات أمان العملاء الموصى بها رسميًا
راجع سجلات النشاط: افحص سجلات نشاط الحساب والبيئة وحدد الأنشطة المشبوهة
بدّل المتغيرات البيئية: أي متغيرات بيئية تحتوي على معلومات سرية (مفاتيح API، الرموز، بيانات اعتماد قواعد البيانات، مفاتيح التوقيع) ولكنها غير موسومة كـ حساسة، يجب اعتبارها على أنها ربما تم تسريبها وأولوية لتبديلها
فعّل ميزة المتغيرات البيئية الحساسة: تأكد من وسم جميع قيم الإعدادات السرية بشكل صحيح على أنها «حساسة»
راجع عمليات النشر الأخيرة: تحرَّ عن عمليات نشر غير معتادة واحذف الإصدارات المشبوهة
قم بإعداد حماية النشر: تأكد من تعيينها على الأقل إلى مستوى «قياسي»، وقم بتدوير رموز حماية النشر
الأسئلة الشائعة
ما هو Context.ai، وكيف أصبح مدخلًا للهجوم الحالي؟
Context.ai هي أداة AI ثالثة صغيرة تستخدم تكامل Google Workspace OAuth، ويستخدمها موظفو Vercel في أعمالهم اليومية. تُظهر نتائج التحقيق أن تطبيق OAuth لهذه الأداة قد تم اختراقه ضمن هجوم أكثر شمولًا على سلسلة التوريد، ما قد يكون قد أثر في مئات المستخدمين من عدة مؤسسات، وقد حصل المهاجمون على بيانات اعتماد حسابات موظفي Vercel خلال هذه العملية.
هل تتأثر المتغيرات البيئية الموسومة كـ «حساسة»؟
لا توجد حاليًا أدلة على أن المتغيرات البيئية الموسومة كـ «حساسة» قد تم الوصول إليها. تُخزن هذه المتغيرات باستخدام طريقة خاصة لمنع القراءة. يستخدم المهاجمون متغيرات بيئية غير موسومة على أنها «حساسة»، وقد نجح المهاجمون عبر أسلوب التعداد في الحصول على صلاحيات وصول إضافية منها.
كيف يمكن لعملاء Vercel التأكد مما إذا كانوا متأثرين؟
إذا لم تتلقَّ تواصلًا مباشرًا من Vercel، فإن Vercel تقول إنه لا توجد حاليًا أسباب للاعتقاد بأن بيانات اعتماد العملاء المعنيين أو معلوماتهم الشخصية قد تم تسريبها. توصي بمراجعة جميع العملاء بشكل استباقي لسجلات النشاط، وتدوير المتغيرات البيئية غير الموسومة كـ «حساسة»، وتمكين ميزة المتغيرات البيئية الحساسة بشكل صحيح. للحصول على دعم تقني، تواصل مع Vercel عبر vercel.com/help.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
تحوّلت ميم “رصد الوضع” MTS من وادي السيليكون إلى آلة إخبارية تعمل 24/7 يتم تسليمها بواسطة a16z
يدعم a16z عرض "Monitoring the Situation"، وهو بثّ مباشر على X يعمل على مدار الساعة 7/24، وُلد من ثقافة الميمات في Polymarket، بينما يقوم رؤوس أموال التقنية (VCs) ببناء مجمّع أخبار-صناعة خاص بهم.
الملخص
ساعدت أندرسن هورويتز في إطلاق "Monitoring the Situation" (MTS)، وهو برنامج بثّ مباشر يعمل على مدار الساعة 7/24 على X، مع التركيز على تنبؤات التشفير-توقعات/تنبؤات
Cryptonewsمنذ 2 س
Google 推出 Deep Research Max: يدعم MCP، ويمكنه الوصول إلى بيانات الشركات الخاصة
وفقًا لإعلان Google DeepMind الرسمي في المدونة، أطلقت Google في 21 أبريل 2026 الجيل الجديد من وكلاء الأبحاث الذاتية Deep Research وDeep Research Max، المبنيين على Gemini 3.1 Pro، بعد النسخة التجريبية التي تم توفيرها في ديسمبر 2025 عبر Interactions API. ويتاح الآن الوكيلان في صورة public preview ضمن خطط الدفع على Gemini API، وسيتكامل المستخدمون من الشركات الناشئة على Google Cloud والمستخدمون المؤسسيون تدريجيًا.
توجد تحديدات مختلفة للنسختين: تفاعلي vs بحث عميق غير متزامن
قسّمت Google الوكيلين وفقًا لسياقات الاستخدام: Deep Research
ChainNewsAbmediaمنذ 4 س
يوصل OpenAI Codex عدد المستخدمين النشطين شهريًا إلى 4 ملايين خلال أقل من أسبوعين
وصل OpenAI Codex إلى 4 ملايين مستخدم نشط شهريًا، بحسب ما أعلن كل من Sottiaux وAltman؛ وقد حدثت القفزة خلال أقل من أسبوعين من 3 ملايين، وتمت إعادة ضبط حدود المعدّل عبر جميع الفئات للاحتفال.
وصل OpenAI Codex إلى 4 ملايين مستخدم نشط شهريًا في أقل من أسبوعين منذ الوصول إلى 3 ملايين، وفقًا لبيانات صادرة عن مسؤولين تنفيذيين في OpenAI. وللاحتفال بهذا الإنجاز، تمت إعادة ضبط حدود المعدّل عبر جميع الفئات.
GateNewsمنذ 6 س
اختيار شركتين ناشئتين من جنوب أفريقيا في مجال الذكاء الاصطناعي لدفعة Google for Startups Accelerator Africa رقم 10
تنضم شركتا ناشئتان من جنوب أفريقيا، Loop و Vambo AI، إلى الدفعة العاشرة من برنامج Google’s Accelerator Africa ضمن 2,600 تطبيق؛ يعزز Loop التنقل/المدفوعات، وتتيح Vambo AI ذكاءً اصطناعيًا متعدد اللغات؛ يستمر البرنامج من أبريل إلى يونيو 2026 مع مرشدين وورش عمل للذكاء الاصطناعي.
ملخص: تم اختيار شركتين ناشئتين من جنوب أفريقيا، Loop و Vambo AI، ضمن الدفعة العاشرة من Google for Startups Accelerator Africa، وتم الاختيار من حوالي 2,600 طلب، ومن بين 15 مشاركًا من أفريقيا. يقوم Loop بتحويل خدمات التنقل والمدفوعات إلى أرقام، بينما توفر Vambo AI بنية تحتية للذكاء الاصطناعي متعدد اللغات للترجمة والكلام والذكاء الاصطناعي التوليدي عبر لغات أفريقيا. يمتد برنامج 2026 من 13 أبريل إلى 19 يونيو ويقدم إرشادًا وتدريبًا عمليًا عبر ورش عمل تركز على الذكاء الاصطناعي/التعلم الآلي. منذ عام 2018، دعم المسرّع 106 شركات ناشئة من 17 دولة أفريقية، مما ساعدها على جمع أكثر من $263 مليون وتوفير أكثر من 2,800 وظيفة.
GateNewsمنذ 8 س
قائمة Forbes AI 50 تتضمن 20 شركة جديدة؛ OpenAI وAnthropic تستحوذان على 80% من إجمالي التمويل
بوابة الأخبار رسالة، 21 أبريل — أصدرت مجلة Forbes قائمة AI 50 في نسختها الثامنة لعام 2026، والتي تضم 20 شركة تم إدراجها حديثًا. تواصل OpenAI وAnthropic قيادة الترتيب، وجذب تمويلًا كبيرًا من أبرز مستثمري رأس المال الاستثماري في وادي السيليكون ومن كبرى شركات التكنولوجيا. بلغ إجمالي التمويل لجميع شركات القائمة
GateNewsمنذ 8 س
Zi变量 تكشف نموذج WALL-B للذكاء الاصطناعي التجسيدي؛ الروبوتات ستدخل المنازل الحقيقية خلال 35 يومًا
رسالة أخبار البوابة، 21 أبريل — Zibianliang (自变量)، شركة صينية للروبوتات، عقدت مؤتمرًا صحفيًا في 21 أبريل للإعلان عن نموذجها الأساسي لتجسيد الذكاء الاصطناعي من الجيل التالي، WALL-B. وأعلنت الشركة أن الروبوتات التي تعمل بقدرات WALL-B ستدخل المنازل الحقيقية خلال 35 يومًا.
وبحسب Zibianliang مؤسسها المشارك وCTO وانغ هاو، فإن WALL-B مبني على بنية World Unified Model WUM، مُصممة لإزالة فقدان البيانات بين الوحدات النمطية المنفصلة. وعلى عكس نماذج الرؤية-اللغة-الإجراء التقليدية VLA التي تعمل فيها وحدات الرؤية واللغة والحركة بشكل مستقل—مما يسبب فقدان المعلومات مع كل نقل للبيانات—يقوم WALL-B بدمج قدرات الرؤية واللغة والإجراء والتنبؤ بالبيئة المادية في شبكة موحدة واحدة يتم تدريبها معًا من الصفر. شدد وانغ على أن نماذج العالم ليست وحدات إضافية منفصلة، بل هي قدرات تنبؤية لحالات العالم المادي المستقبلية.
يركز جوهر رؤية الشركة على جودة البيانات: فقد ميّز وانغ هاو بين «بيانات شراب السكر» clean, stable, predictable lab data و«بيانات الحليب» messy, uncontrollable, real-world household data. ففي حين أن التدريب على بيانات المختبر ينتج نماذج تفتقر إلى تعميم Zero-shot، فإن بيانات المنازل الحقيقية—على الرغم من أنها مكلفة وتستغرق وقتًا طويلًا لجمعها—تمكّن من التعميم الحقيقي. ولهذا الغرض، دخلت Zibianliang أكثر من 100 منزل تطوعي لتدريب WALL-B.
صرّح الرئيس التنفيذي وانغ تشيان بأن الروبوتات يمكنها تنفيذ أي مهمة قابلة للتطبيق فعليًا بمجرد نشرها في المنازل، دون الحاجة إلى مراعاة القيود مسبقًا. وأبرز أن الميزة التنافسية لا تنبع من الخوارزميات أو العتاد، بل من منظومة الهندسة الكاملة—تعريف البيانات وجمعها ومعالجتها وتقييم التدريب. وفي مجال الروبوتات، قد تمتد نوافذ القيادة التقنية من هذا النوع لثلاث سنوات أو أكثر. وتجدر الإشارة إلى أن Zibianliang أكملت مؤخرًا جولة تمويل Series B بقيادة ذراع استثمارات Xiaomi، ما رفع عدد الداعمين الذين كشفت عنهم الشركة إلى أربع شركات إنترنت صينية كبرى ByteDance, Meituan, Alibaba, and Xiaomi.
GateNewsمنذ 9 س
