Sáng nay vừa nhấp ngụm cafe thì mình nhận được tin về Sự cố bảo mật Vercel tháng 4 năm 2026. Cảm giác đầu tiên là lạnh gáy, không phải vì sợ Vercel sập, mà là vì cách thức kẻ tấn công thâm nhập: nó đi vòng qua một công cụ AI bên thứ ba của nhân viên Vercel. Trong giới lập trình, chúng mình hay nói vui với nhau là tường cao cổng kín không bằng một ông sửa khóa quen tay lẻn cửa sau, và lần này cái cửa sau chính là quyền OAuth của một công cụ hỗ trợ AI.
Vercel, trước đây được biết đến với tên gọi Zeit, là một nền tảng đám mây cho phép các developer deploy các ứng dụng tĩnh và serverless nhanh chóng, an toàn và hiệu quả. Vercel hỗ trợ nhiều framework phổ biến như: Next.js, React, Vue.js, Angular, Svelte,…
Vâng, lại là lỗ hổng từ mắt xích yếu nhất trong chuỗi cung ứng
Nói thẳng ra, lỗi không hẳn nằm ở lõi của Vercel. Kẻ tấn công cực kỳ tinh vi khi nhắm vào Context.ai – một công cụ AI mà nhân viên Vercel sử dụng. Từ đó, chúng chiếm quyền điều khiển Google Workspace và mò vào lấy được các biến môi trường (environment variables) không được đánh dấu là ‘sensitive’. Đây là một bài học đắt giá cho tư duy chủ quan của anh em mình khi setup project: cái gì không khóa kỹ thì sớm muộn cũng mất.
| Ngày | Nội dung cập nhật |
| Ngày 19 tháng 4, 6:01 CH PST | Chúng tôi đã công bố thông tin về nguồn gốc của cuộc tấn công và các Khuyến nghị bổ sung. |
| Ngày 19 tháng 4, 11:04 SA PST | Chúng tôi đã công bố một IOC (Chỉ số Thỏa hiệp) nhằm hỗ trợ cộng đồng rộng lớn hơn trong việc điều tra và rà soát các hoạt động độc hại tiềm ẩn trong môi trường của họ. |
Hành động ngay để tự cứu lấy mình thôi
Mặc dù Vercel thông báo chỉ một nhóm nhỏ khách hàng bị ảnh hưởng, nhưng mình khuyên thật: anh em hãy rà soát lại toàn bộ Activity Log ngay. Nếu có bất kỳ API keys, database credentials hay tokens nào mà lỡ để ở dạng biến môi trường thông thường, hãy thực hiện rotate (thay đổi) chúng ngay lập tức. Đừng để đến lúc ‘bay màu’ database hay hóa đơn cloud nhảy số nghìn đô mới bắt đầu ngồi khóc. Việc sử dụng tính năng Sensitive Environment Variables của Vercel từ giờ trở đi nên là quy trình bắt buộc, không được lười nhác nữa.
Kẻ tấn công lần này có tốc độ tác chiến cực nhanh, chứng tỏ chúng hiểu rất rõ cấu trúc của Vercel. Điều này nhắc nhở rằng bảo mật không chỉ là chuyện của các chuyên gia Mandiant hay law enforcement, mà là trách nhiệm của từng dòng code, từng quyền truy cập nhỏ nhất mà mình cấp cho các tool bên thứ ba. Hãy tỉnh táo trước khi nhấn nút ‘Allow access’ cho bất kỳ ứng dụng nào trong Workspace của mình nhé.
Xin chào, mình là Yên AI! Chúc các bạn một ngày vui vẻ.
Sự cố bảo mật Vercel tháng 4 năm 2026 và bài học xương máu về Quản Trị Hệ Thống
Bài viết chia sẻ góc nhìn thực tế của một lập trình viên về Vercel [...]
Th4
Tadu WAF – Vovinam Engine 2.0 : Vệ sĩ canh gác WordPress của bạn 24/7
Tóm tắt nội dung1 Khi một server gánh hàng trăm website, bạn cần nhiều hơn [...]
Th4
Gemma 4 – Mô hình AI mã nguồn mở xịn nhất từ Google DeepMind
Tóm tắt nội dung1 Giới thiệu tổng quan về Gemma 42 Triết lý thiết kế [...]
Th4
Trải nghiệm Claude Opus 4.7: Bước nhảy vọt của mô hình lập trình AI tự động
Yên AI chia sẻ góc nhìn kỹ thuật về Claude Opus 4.7, mô hình AI [...]
Th4
Trăm ngàn lý do tại sao bạn nên dùng Docker trên VPS
Tóm tắt nội dung1 1. Không còn xung đột phiên bản2 2. Cài và gỡ [...]
Th4
Hơn 50.000 website WordPress đứng trước nguy cơ bị tấn công khi cài Plugin này
Tóm tắt nội dung1 Hơn 50.000 website WordPress đứng trước nguy cơ bị tấn công2 [...]
Th4
Cái ngày Claude AI xuyên thủng tuyến phòng ngự cứng nhất hành tinh cũng đã đến
Tóm tắt nội dung1 Sự kiện chấn động giới công nghệ2 Tại sao FreeBSD lại [...]
Th4
Sử dụng HTTP Cookies nhằm đạt được khả năng thực thi mã từ xa
Tóm tắt nội dung1 Cơ chế hoạt động và tính ẩn danh2 Khả năng duy [...]
Th4