Vercel安全事件更新：npm包未被污染，新建环境变量默认即「敏感」

据 动察 Beating 监测，Vercel 官方账号 4 月 21 日上午宣布，称与 GitHub、Microsoft、npm、Socket 四方联合排查后，Vercel 在 npm 上发布的任何包均未被篡改，供应链「仍然安全」。Vercel 在 npm 上维护 Next.js、Turbopack、SWR 等开源库，合计每月下载量以亿次计，若被攻击者借员工账号投毒，影响会远超 Vercel 自身客户。这次核查排除了事件里最大的一项连带风险。同日官方安全公告同步更新三处细节。受影响范围首次明确到字段级别。公告称，遭泄露的是未被标记为「敏感」的那部分客户环境变量，其在后台解密后以明文存储。是否有更多数据被带走，Vercel 仍在调查。给客户的建议里多了一条「删除 Vercel 项目或账号本身不能消除风险」。必须先轮换所有未标记为敏感的密钥，再考虑删除动作，攻击者拿到的凭证仍可直连生产系统。产品侧改了默认值。新建环境变量现在默认即是「敏感」（sensitive: on）。老账号过去新增变量默认是普通类型，要手动勾选才启用敏感。这正是本次攻击者能读到明文变量的直接入口。Dashboard 同步上线了更密集的活动日志界面和团队级环境变量管理；所有安全建议里「启用双因素认证」被顶到最前。