Whalesbook
Vercel நிறுவனத்தில் நடந்த சமீபத்திய பாதுகாப்புச் சிக்கல் (Security Incident) டெவலப்பர் சமூகத்தினரிடையே பெரும் கவலையை ஏற்படுத்தியுள்ளது. இந்த மீறல் ஏப்ரல் 19, 2026 அன்று உறுதி செய்யப்பட்டது. இது Vercel-ன் முக்கிய கோடிங்கை நேரடியாக தாக்கவில்லை. மாறாக, Vercel ஊழியர் பயன்படுத்திய Context.ai என்ற மூன்றாம் தரப்பு AI கருவி மூலம் இந்த ஊடுருவல் நிகழ்ந்துள்ளது. தாக்குதல் நடத்தியவர்கள், Google Workspace OAuth அப்ளிகேஷனில் உள்ள ஒரு குறைபாட்டைப் பயன்படுத்தி, Vercel-ன் உள் அமைப்புகளுக்குள் அங்கீகரிக்கப்படாத அணுகலைப் பெற்றுள்ளனர். இது டெவலப்மென்ட் கருவிகளில் AI-ஐ பயன்படுத்துவதால் ஏற்படும் பாதுகாப்பு அபாயங்களையும், மூன்றாம் தரப்பு சேவைகளின் ஆழமான ஒன்றோடொன்று இணைக்கப்பட்ட தன்மையையும் எடுத்துக்காட்டுகிறது. பிரபல Next.js framework-ஐ நிர்வகிக்கும் Vercel-ன் பங்கை கருத்தில் கொள்ளும்போது, வாரத்திற்கு பல மில்லியன் பதிவிறக்கங்கள் ஆகும் இந்த framework-க்கு ஏற்படக்கூடிய தாக்கம் குறிப்பிடத்தக்கது, மேலும் AI-ஆல் தூண்டப்பட்ட ஒரு புதிய வகை சப்ளை செயின் ஆபத்தை இது உருவாக்குகிறது.
Vercel, செப்டம்பர் 2025-ல் $300 மில்லியன் Series F நிதியுதவி பெற்ற பிறகு $9.3 பில்லியன் என மதிப்பிடப்பட்டது, மேலும் ஜூன் 2025 நிலவரப்படி ஆண்டுக்கு சுமார் $200 மில்லியன் வருவாய் ஈட்டுவதாக கூறப்படுகிறது. டெவலப்பர் சூழலில் இது ஒரு முக்கியப் பங்காற்றுகிறது. இந்நிறுவனம் ISO 27001 மற்றும் SOC 2 Type II சான்றிதழ்கள் போன்ற நிறுவன பாதுகாப்பு அம்சங்களை வழங்குகிறது. இருப்பினும், இந்த சம்பவத்தில், பயனர்கள் 'sensitive' என்று குறிப்பிடாத சூழல் மாறிகள் (Environment Variables) தாக்குதல் நடத்தியவர்களுக்கு கிடைத்துள்ளன. 'Sensitive' எனக் குறிக்கப்பட்ட தரவுகள் Vercel-ன் பாதுகாப்பு அமைப்பால் என்க்ரிப்ட் (encrypt) செய்யப்படுகின்றன. ஆனால், இந்த குறிப்பு இல்லாத மாறிகள் Vercel-ன் உள் அமைப்புகளிலிருந்து அணுகக்கூடியதாக இருந்துள்ளது. இதில் API Keys, டேட்டாபேஸ் சான்றுகள் மற்றும் Web3 அப்ளிகேஷன்களுக்கான பின்தள இணைப்புகளுக்கு உதவும் பிற ரகசியங்கள் அடங்கும். Chainlink போன்ற பாதிக்கப்பட்ட வாடிக்கையாளர்கள் தங்கள் API Keys-ஐ உடனடியாக மாற்றுவது போன்ற முன்னெச்சரிக்கை நடவடிக்கைகளை எடுத்துள்ளனர்.
Vercel, AWS, Cloudflare மற்றும் Netlify போன்ற நிறுவனங்களுடன் போட்டி நிறைந்த கிளவுட் இன்ஃப்ராஸ்ட்ரக்சர் சந்தையில் செயல்படுகிறது. 2025-க்குள் நவீன ஃபிரண்டெண்ட் டெப்ளாய்மென்ட் சந்தையில் சுமார் 22% பங்கைக் கொண்டுள்ளது. இந்த சம்பவம் வாடிக்கையாளர்களிடமிருந்தும் போட்டியாளர்களிடமிருந்தும் அதிக ஆய்வுக்கு வழிவகுக்கும். AI-யால் இயக்கப்படும் சைபர் தாக்குதல்களின் பரவலான போக்குகள் அதிகரித்து வருகின்றன. Vercel CEO Guillermo Rauch கருத்துப்படி, தாக்குதல் AI-ஆல் கணிசமாக துரிதப்படுத்தப்பட்டுள்ளது, தாக்குதல் நடத்தியவர்களின் வேகம் மற்றும் புரிதல் ஆச்சரியமளிக்கும் வகையில் இருந்தது. சைபர் கிரைம் ஃபோரம்களில் Vercel தரவுகளை $2 மில்லியன்-க்கு விற்பனை செய்வதாக வெளிவந்த உறுதிசெய்யப்படாத கூற்றுகள், தீங்கிழைக்கும் நபர்களுக்கு இத்தகைய சமரசம் செய்யப்பட்ட சான்றுகளின் மதிப்பு அதிகமாக இருப்பதைக் குறிக்கிறது.
Vercel சம்பவம், கிளவுட் இன்ஃப்ராஸ்ட்ரக்சர் மற்றும் மூன்றாம் தரப்பு AI சேவைகளுக்கு இடையிலான வளர்ந்து வரும் தொடர்பைக் காட்டுகிறது. இது அதிநவீன சப்ளை செயின் தாக்குதல்களுக்கு புதிய வழிகளைத் திறக்கிறது. ஒரு ஊழியரின் Google Workspace கணக்கைப் பயன்படுத்துவதும், அது சமரசம் செய்யப்பட்ட மூன்றாம் தரப்பு AI தளத்துடன் இணைக்கப்பட்டிருப்பதும், சிக்கலான, பல அடுக்கு அபாயத்தை விளக்குகிறது. நிறுவனங்களுக்கு, இது பாதுகாப்பு அணுகுமுறையில் ஒரு பெரிய மாற்றத்தைக் கோருகிறது. கோடிங் பாதிப்புகளை ஆராய்வது மட்டுமல்லாமல், ஒருங்கிணைக்கப்பட்ட ஒவ்வொரு கருவியின் பாதுகாப்பு நடைமுறைகளையும், குறிப்பாக AI-ஐப் பயன்படுத்தும் கருவிகளையும் உன்னிப்பாக கவனிக்க வேண்டும். Sensitive tokens அணுகப்பட்டிருந்தால், அதன் சேதம் தனிப்பட்ட வாடிக்கையாளர் கணக்குகளுக்கு அப்பாற்பட்டு, Next.js சுற்றுச்சூழல் அமைப்பின் மீதான நம்பிக்கையையும் பாதிக்கக்கூடும். AI இடையூறு பற்றிய அச்சம் காரணமாக தொழில்நுட்ப நிறுவனங்களுக்கான IPO சந்தை உறைந்திருக்கும் இந்த நேரத்தில் இந்த சம்பவம் நிகழ்ந்துள்ளது.