Il 19 aprile 2026 Vercel — la piattaforma che gestisce l’infrastruttura frontend di milioni di applicazioni web e mantiene Next.js, il framework React più diffuso al mondo — ha confermato un attacco supply chain AI originato da un tool di terze parti, con dati in vendita su BreachForums a 2 milioni di dollari. Il vettore d’attacco non era una vulnerabilità nel codice di Vercel: era un’integrazione OAuth con uno strumento di produttività AI installato da un dipendente sul proprio account enterprise Google, senza revisione di sicurezza formale.
Il punto non è la violazione di una singola azienda. È che il meccanismo usato — un’autorizzazione OAuth con permessi “Allow All” concessa a un tool AI di produttività — è identico a quello che milioni di developer e team IT hanno replicato nei propri ambienti negli ultimi dodici mesi, spesso senza nemmeno registrarlo in un inventario vendor.
Come funziona la catena del supply chain AI
La ricostruzione completa richiede di partire tre mesi prima dell’annuncio pubblico. A febbraio 2026, secondo un’analisi di Hudson Rock, un dipendente di Context.ai — la società dietro l’AI Office Suite, uno strumento per creare presentazioni e documenti tramite agenti AI — scarica script di exploit per videogiochi infettati da Lumma Stealer, un malware specializzato nel furto di credenziali. Tra i dati compromessi: accessi all’infrastruttura AWS di Context.ai e ai token OAuth dell’applicazione.
A marzo, l’attaccante usa quei token per accedere agli account Google degli utenti del tool. Uno di questi utenti è un dipendente Vercel che aveva collegato l’AI Office Suite al proprio account enterprise Google concedendo permessi “Allow All” — la configurazione più permissiva disponibile. Da quel momento, l’attaccante controlla il Google Workspace del dipendente e può muoversi lateralmente nell’infrastruttura interna.
Da lì la progressione è rapida: accesso a environment variables non cifrate, contenenti API key, NPM token e GitHub token. Chi si presenta come ShinyHunters pubblica su BreachForums un’offerta da 2 milioni di dollari per l’accesso ai dati, inclusi 580 record di dipendenti Vercel e codice sorgente, come riportato da TechCrunch.
La domanda che nessun comunicato ufficiale si pone esplicitamente è questa: quanti altri tool AI di produttività — installati da singoli developer con permessi “Allow All” su account enterprise — stanno aspettando il loro momento in ambienti che nessun team di sicurezza ha mai incluso nell’inventario vendor?
Cosa è stato esposto e chi è a rischio
Vercel ha chiarito che le environment variables marcate come “sensitive” — cifrate a riposo — non risultano accessibili. Le variabili non cifrate, però, erano esposte, e in un ambiente di deployment professionale quelle variabili contengono esattamente il tipo di credenziali che permettono di impersonare un’applicazione, pubblicare package npm malevoli o compromettere repository GitHub collegati.
Il rischio downstream era reale perché Vercel è lo steward di Next.js, integrato nel workflow di sviluppo di buona parte del web moderno. La conferma che nessun package npm è stato compromesso — verificata con GitHub, Microsoft, npm e Socket — è arrivata, ma la finestra di rischio era aperta per settimane. Vercel ha ingaggiato Mandiant per l’incident response e coinvolto le forze dell’ordine.
Il CEO Guillermo Rauch ha descritto l’attaccante come un avversario con una comprensione dettagliata dei sistemi interni, probabilmente potenziato dall’AI nella velocità operativa.
“Ritengo che il gruppo attaccante sia altamente sofisticato e, con forte probabilità, significativamente accelerato dall’AI.” — Guillermo Rauch, CEO Vercel
Cosa fare oggi se usi Google Workspace
Chi gestisce ambienti Google Workspace può verificare l’esposizione in pochi minuti. Dal Google Admin Console, in Security → API Controls → Manage Third-Party App Access, va cercato il client ID dell’app compromessa: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com. Se il risultato è vuoto, il workspace non ha concesso permessi a quell’applicazione.
Per chi usa Vercel, la raccomandazione ufficiale è la rotazione immediata di tutte le credenziali archiviate in variabili d’ambiente non-sensitive: API key, token di database, credenziali di servizi terzi. Vercel ha già aggiornato il comportamento di default per le nuove variabili, impostando “sensitive: on” come configurazione predefinita.
Chi segue il settore da vicino sa che la lezione di questo incidente non riguarda Vercel. Riguarda la categoria intera degli AI productivity tool integrati negli ambienti enterprise attraverso OAuth: adottati velocemente, spesso da singoli utenti, quasi mai revisionati con il rigore applicato ai vendor software tradizionali. Il breach di Vercel è il caso di studio che i CISO aspettavano — e che i team IT italiani dovrebbero usare subito per avviare un audit degli accessi OAuth attivi sui propri workspace aziendali.
Per approfondire i termini tecnici citati nell’articolo, il glossario AI raccoglie le definizioni di riferimento.