**Vercel** anunciou na quarta-feira que sua investigação sobre o recente incidente de segurança revelou um impacto mais amplo do que o inicialmente avaliado. A empresa descobriu um novo conjunto de contas de clientes comprometidas através de acesso não autorizado aos seus sistemas internos. ### Ampliando a Investigação A descoberta foi feita após a Vercel ampliar sua investigação, incluindo indicadores de comprometimento adicionais e revisando requisições para a rede Vercel, bem como eventos de leitura de variáveis de ambiente em seus logs. "Em segundo lugar, descobrimos um pequeno número de contas de clientes com evidências de comprometimento anterior que é independente e anterior a este incidente, potencialmente como resultado de engenharia social, malware ou outros métodos", declarou a empresa em uma atualização. **Vercel** notificou as partes afetadas, mas não divulgou o número exato de clientes impactados. ### A Conexão Context.ai Este desenvolvimento segue o reconhecimento inicial de que a violação se originou de um comprometimento da **Context.ai**. O uso de Context.ai por um funcionário da Vercel levou o atacante a obter controle de sua conta do Google Workspace. "A partir daí, eles conseguiram pivotar para um ambiente Vercel e, subsequentemente, manobraram através dos sistemas para enumerar e descriptografar variáveis de ambiente não sensíveis", explicou a Vercel. ### Lumma Stealer e o Paciente Zero Investigações adicionais pela **Hudson Rock** sugerem que um funcionário da **Context.ai** foi infectado com **Lumma Stealer** em fevereiro de 2026. Essa infecção ocorreu após o funcionário pesquisar scripts de auto-farm para **Roblox** e executores de exploit de jogos, potencialmente marcando este evento como o "paciente zero" na cadeia de ataque. **Guillermo Rauch**, CEO da Vercel, declarou em uma postagem no X: "Agora entendemos que o ator de ameaça esteve ativo além do comprometimento daquela startup [referindo-se à Context.ai]. A inteligência de ameaças aponta para a distribuição de malware para computadores em busca de tokens valiosos como chaves para contas Vercel e outros provedores." ### Shadow AI e Riscos do OAuth O incidente levanta questões sobre se o uso da Context AI Office Suite por funcionários da Vercel foi sancionado ou uma instância de shadow AI. Shadow AI refere-se ao uso não autorizado de ferramentas de IA em aplicações SaaS sem revisão formal de TI, expondo organizações a riscos imprevistos. A **Context.ai** desde então descontinuou o AI Office Suite. A **Tanium** observou os riscos inerentes das integrações OAuth: "As integrações OAuth são úteis porque reduzem o atrito. Elas também são perigosas porque podem herdar confiança do usuário e da organização. Quando os atacantes abusam de uma integração aprovada, eles podem evitar alguns dos controles em que as equipes confiam para o comprometimento direto de contas." ### Implicações para Defensores O incidente destaca a necessidade de capacidades rápidas de detecção e resposta. De acordo com a Tanium, "O que se destaca operacionalmente é menos o volume de dados expostos e mais a velocidade dos atacantes e a capacidade de enumerar ambientes internos antes da detecção. Isso muda o trabalho para os defensores. O desafio muda da prevenção para o escopo rápido e a redução do raio de explosão."