اختراق Vercel عبر سلسلة التوريد: كيف حوّل OAuth وأدوات الذكاء الاصطناعي موظفاً واحداً إلى ثغرة بملايين الدولارات

في أبريل 2026، اكتشفت منصة Vercel — التي تستضيف تطبيقات الويب لمئات الآلاف من المؤسسات حول العالم — أن مهاجمين اخترقوا أنظمتها الداخلية بالكامل، ليس عبر ثغرة تقنية في بنيتها التحتية، بل عبر أداة ذكاء اصطناعي صغيرة يستخدمها أحد موظفيها. الحادثة تكشف كيف أصبحت أدوات الإنتاجية المعتمدة على AI وبروتوكول OAuth نقاط ضعف استراتيجية في سلسلة التوريد البرمجية.

تشريح الهجوم: من Roblox إلى أسرار Vercel الداخلية

بدأ الهجوم بطريقة لا تخطر على بال فرق الأمن: موظف في شركة Context.ai — أداة إنتاجية تعتمد على الذكاء الاصطناعي — قام بتحميل سكريبتات استغلال للعبة Roblox على جهازه الشخصي في فبراير 2026 تقريباً. تلك السكريبتات كانت ملوثة ببرمجية Lumma Stealer، وهي أداة سرقة بيانات اعتماد متقدمة تستخرج ملفات تعريف الارتباط وتوكنات المصادقة من المتصفح.

استخدم المهاجمون توكنات OAuth المسروقة من Context.ai للوصول إلى حساب Google Workspace الخاص بموظف Vercel الذي كان يستخدم تلك الأداة. النقطة الجوهرية: توكنات OAuth بمجرد إصدارها لا تتطلب إعادة مصادقة، مما يعني أن المهاجم تجاوز المصادقة متعددة العوامل (MFA) بالكامل دون الحاجة لكسرها. من هناك، انتقل المهاجم عبر Google SSO إلى أنظمة Vercel الداخلية: متتبع المشكلات، أدوات الإدارة، والبيئات الداخلية.

حجم الضرر: بيانات بملايين الدولارات على BreachForums

عرض مهاجم يدّعي انتماءه لمجموعة ShinyHunters قاعدة بيانات Vercel الداخلية على منتدى BreachForums مقابل 2 مليون دولار. شملت البيانات المسروقة: مفاتيح API للعملاء، أكواد مصدرية، بيانات قواعد بيانات، حسابات موظفين، توكنات NPM وGitHub. كما نُشر ملف يحتوي على 580 سجل بيانات موظفين يشمل الأسماء والبريد الإلكتروني وحالة الحسابات. لاحقاً، كشف تحقيق Vercel الموسّع عن أدلة على اختراقات سابقة لعدد محدود من حسابات العملاء تسبق هذه الحادثة.

لماذا يُعدّ هذا الاختراق نموذجاً لتهديد جديد؟

ما يميز هذا الهجوم أنه يجمع ثلاثة اتجاهات خطيرة في آن واحد. أولاً: استغلال أدوات AI كنقاط دخول — فالمؤسسات تمنح أدوات الذكاء الاصطناعي صلاحيات واسعة عبر OAuth دون تقييم مخاطر الطرف الثالث. ثانياً: إساءة استخدام OAuth كسلاح — حيث تتحول التوكنات طويلة العمر إلى بدائل دائمة لكلمات المرور تتجاوز MFA. ثالثاً: تداخل الحياة الشخصية والمهنية — فتحميل محتوى شخصي على أجهزة متصلة ببيئة العمل أصبح الحلقة الأضعف.

التأثير المباشر على المؤسسات المالية السعودية

اختراق Vercel ليس حدثاً بعيداً عن السياق السعودي. العديد من المؤسسات المالية المحلية تستخدم منصات استضافة سحابية مشابهة، وتعتمد فرقها التقنية على عشرات أدوات الإنتاجية والذكاء الاصطناعي المرتبطة بحسابات العمل عبر OAuth. إطار SAMA CSCC يُلزم المؤسسات المالية بتطبيق ضوابط صارمة لإدارة مخاطر الأطراف الثالثة (Third-Party Risk Management) في النطاقين 3.3 و3.4، بما يشمل تقييم دوري لجميع الأدوات والخدمات المرتبطة بالبنية التحتية.

كذلك، يُلزم إطار NCA ECC في ضابط 2-6 بتطبيق إدارة صلاحيات الوصول المميزة (PAM) ومراجعة دورية لتوكنات OAuth وصلاحيات التطبيقات الخارجية. أما نظام PDPL فيفرض مسؤولية مباشرة على المؤسسة عن أي تسريب بيانات يحدث عبر مزود خدمة خارجي، مما يجعل الاختراقات من نوع Vercel مسألة امتثال قانوني وليس مجرد حادثة تقنية.

التوصيات والخطوات العملية

1. جرد شامل لتكاملات OAuth: أجرِ مسحاً فورياً لجميع التطبيقات المرتبطة بحسابات Google Workspace وMicrosoft 365 عبر OAuth، وأزل كل تطبيق لم يعد مستخدماً أو لا يخضع لتقييم أمني معتمد.
2. تقييد عمر توكنات OAuth: فعّل سياسات انتهاء التوكنات (Token Expiry) وأجبر التطبيقات على إعادة المصادقة دورياً. Google Workspace يدعم ذلك عبر إعدادات API Controls في وحدة الإدارة.
3. سياسة استخدام أدوات AI: ضع سياسة واضحة تحدد أدوات الذكاء الاصطناعي المعتمدة، وامنع ربط أي أداة جديدة بحسابات العمل دون موافقة فريق أمن المعلومات. صنّف أدوات AI كأطراف ثالثة تخضع لنفس ضوابط إدارة المخاطر.
4. فصل البيئات الشخصية عن المهنية: طبّق سياسات MDM تمنع الوصول لحسابات العمل من أجهزة غير مُدارة، واستخدم حلول مثل Conditional Access في Azure AD أو Context-Aware Access في Google لتقييد الوصول بناءً على حالة الجهاز.
5. مراقبة نشاط OAuth المشبوه: فعّل تنبيهات لأي منح صلاحيات OAuth جديدة أو غير معتادة، وراقب تسجيلات الدخول عبر SSO من مواقع جغرافية أو أجهزة غير مألوفة عبر حلول SIEM.
6. محاكاة سيناريوهات سلسلة التوريد: أدرج سيناريوهات اختراق الأطراف الثالثة في تمارين Tabletop Exercise الدورية، بما يشمل اختراق أداة إنتاجية مرتبطة بـ OAuth كنقطة انطلاق للحركة الجانبية.

الخلاصة

اختراق Vercel يؤكد أن سلسلة التوريد البرمجية أصبحت الجبهة الأكثر تعقيداً في الأمن السيبراني. لم يعد يكفي تأمين البنية التحتية الداخلية؛ كل أداة إنتاجية وكل توكن OAuth وكل تطبيق AI يستخدمه موظف واحد يمثل سطح هجوم محتمل. المؤسسات المالية السعودية التي تتجاهل تقييم مخاطر أدوات الذكاء الاصطناعي وتكاملات OAuth تُعرّض نفسها لاختراقات مماثلة واحتمال مخالفة متطلبات SAMA CSCC وNCA ECC.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة شاملة لمخاطر سلسلة التوريد وتكاملات OAuth في بيئتكم.