كشف اختراق أمني أصاب Vercel، المنصة السحابية الشهيرة التي تشغل تطبيقات Next.js، عن ثغرات حرجة في عمليات توثيق OAuth المرتبطة بمتغيرات بيئة المنصة. بدأت القصة بمجرد تبني موظف واحد لأداة ذكاء اصطناعي غير معتمدة، تعرضت لاحقاً للاختراق عبر برمجية خبيثة لسرقة المعلومات (infostealer) لدى الشركة المطورة للأداة. يسلط هذا الحادث الضوء على المخاطر المخفية في تكاملات الطرف الثالث، حيث يمكن لمنح أذونات OAuth التي تبدو بسيطة أن توفر وصولاً واسعاً دون مراجعة كافية.
تشير التقارير المتداولة في نقاشات Hacker News إلى أن الاختراق وقع في أبريل 2026، وارتبط ببرمجية غش في لعبة Roblox إلى جانب أداة الذكاء الاصطناعي، مما تسبب في تعطيل أجزاء من منصة Vercel. أوضح تقرير لـ VentureBeat كيف فتحت سلسلة الهجوم "طريقاً مباشراً" إلى بيئات الإنتاج، بينما تتولى شركة Mandiant المتخصصة في الأمن السيبراني التحقيق في حجم الضرر. أكدت Vercel الوصول غير المصرح به، وبدأت جهود الاحتواء الفوري، رغم أن المدى الكامل لتسرب البيانات لا يزال قيد المراجعة. وتكمن صعوبة اكتشاف فجوات OAuth هذه في قدرتها على تجاوز نطاقات المراقبة التقليدية.
يأتي حادث Vercel ضمن أزمة أوسع تضرب منصات "vibe coding"، حيث تقوم أدوات التطوير المعتمدة على الذكاء الاصطناعي بتوليد الأكواد بسرعة فائقة لكنها تزرع عيوباً أمنية هيكلية. عانت منصة Lovable، التي تبلغ قيمتها 6.6 مليار دولار وتضم ثمانية ملايين مستخدم، من حالات تسريب متعددة، شملت ثغرات في API تركت أوامر الذكاء الاصطناعي وسجلات دردشة المستخدمين وآلاف المشاريع عرضة للاطلاع العام. اكتشف الباحث المعروف باسم @weezerOSINT إحدى هذه الثغرات التي سمحت بالوصول إلى بيانات حساسة لمستخدمين آخرين، وفقاً لما ذكره تقرير Fast Company.
كشفت التحقيقات المعمقة أن مشاكل Lovable ناتجة عن أخطاء في إعدادات خدمات الخلفية مثل Supabase، وتحديداً غياب سياسات Row Level Security (RLS) المناسبة. وحددت تحليلات أمنية شملت The Register و Superblocks أكثر من 170 تطبيقاً متأثراً بالثغرة CVE-2025-48757، مما عرض رسائل البريد الإلكتروني وأرقام الهواتف وتفاصيل الدفع ومفاتيح API وبيانات اعتماد المطورين للخطر. وفي إحدى الحالات، سرب تطبيق مستضاف على Lovable بيانات 18 ألف مستخدم بسبب خلل حرج في التوثيق والتحكم في الوصول. وبحسب The Next Web، تركت المنصة ثغرة Broken Object Level Authorization (BOLA) مفتوحة لمدة 48 يوماً بعد إغلاق تقرير مكافأة الثغرات دون تصعيده.
تؤثر هذه الأحداث على ملايين المطورين والمستخدمين الذين يعتمدون على أدوات البرمجة بالذكاء الاصطناعي لبناء التطبيقات بسرعة. كشفت التطبيقات الضعيفة عن كل شيء، من الهويات الحكومية في تطبيق تعارف إلى 1.5 مليون توكن API عبر المشاريع المفحوصة، مع تكرار ثغرات شائعة مثل الأسرار البرمجية المدمجة (hardcoded secrets)، وغياب التوثيق، وقواعد البيانات المفتوحة، وثغرات IDOR. وتؤكد تقارير Kaspersky و Checkmarx أن أدوات الذكاء الاصطناعي تعيد إنتاج الأنماط غير الآمنة من بيانات التدريب، وتضيف تبعات (dependencies) غير موثقة، وتدمج بيانات الاعتماد مباشرة في الكود، مما يضاعف مخاطر سلاسل التوريد.
تفاعلت Lovable مع الموقف بالتواصل مع أصحاب التطبيقات المتضررة والتحرك سريعاً تجاه البلاغات الأخيرة، حيث أشار مدير أمن المعلومات لديهم إلى إصلاح ثغرة في غضون دقائق من استلام البلاغ بشكل صحيح. ومع ذلك، فإن تكرار هذه الحوادث يثير تساؤلات حول المسؤولية عن الأكواد التي يولدها الذكاء الاصطناعي، حيث غالباً ما تنقل المنصات عبء المسؤولية إلى المستخدمين. لم تفصح Vercel بعد عن إصلاحات طويلة المدى، لكن الخبراء يطالبون بآليات أفضل لفحص OAuth ووضع ضمانات أمنية في مسارات عمل الذكاء الاصطناعي.
ما سيحدث لاحقاً قد يعيد صياغة ثقة المطورين في هذه المنصات. ومع صعود موجة الـ vibe coding، يحث الباحثون الأمنيون على اعتماد مبدأ التحقق المستمر، عبر فحص مخرجات الذكاء الاصطناعي في بيئات التطوير IDEs، والتحقق من التبعات، وفرض سياسات RLS منذ البداية، بدلاً من الاعتماد على الحلول الترقيعية بعد وقوع الكارثة. ومع تزايد مثل هذه الاختراقات، يواجه المستخدمون المتضررون مخاطر سرقة الهوية، بينما يتعين على المنصات إثبات قدرتها على تأمين سرعة الابتكار التي يوفرها الذكاء الاصطناعي دون التضحية بالأمان.