文章总结： Vercel遭黑客入侵，内部数据库及NPM、GitHub令牌被窃并挂牌出售两百万美元。由于Next.js下载量巨大，若令牌被滥用将引发全球规模的供应链攻击。官方称事件源于第三方AI工具账号被盗导致员工权限沦陷，目前服务正常但已建议用户紧急自检，企业需警惕第三方工具带来的连锁风险。 综合评分： 60 文章分类： 供应链安全,数据泄露,安全大事件,漏洞预警,AI安全

vercel前端AI自动化鼻祖被黑

原创

王君 王君

网安守护

2026年4月20日 15:36 美国

在小说阅读器读本章

去阅读

Vercel 居然被黑了，就是那个做 Next.js 的公司，很多程序员用它来快速部署网站。

黑客声称拿到了 Vercel 的内部数据库，包括员工账号、源代码、各种访问密钥等。他们把这些数据打包，在黑客论坛上，标价 200 万美元出售。

最让人担心的不是数据库本身，而是他们拿到了 NPM 令牌 和 GitHub 令牌。

而 Next.js 是目前最流行的前端框架之一，每周下载量高达 600 万次。如果黑客手里，真的有 NPM 令牌，他们就能偷偷往 Next js 里塞恶意代码，然后全世界几百万个用 Next js 做的网站和 App 就可能集体中招。

这就是传说中的供应链攻击。

不过 Vercel 官方声明，这只影响了一部分客户，服务还在正常运行，起因是一个第三方 AI 工具的 Google 账号被黑了，导致一位 Vercel 员工的账号，被入侵，进而拿到了内部权限。

目前 Vercel 官方已经紧急建议所有用户，赶紧自检！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安守护 王君 王君《vercel前端AI自动化鼻祖被黑》