Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Een externe AI-tool opende stilletjes de deur naar de interne systemen van Vercel
Een externe AI-tool opende stilletjes de deur naar de interne systemen van Vercel

Een externe AI-tool opende stilletjes de deur naar de interne systemen van Vercel

by Patrick Spencer updated april 21, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 9 minutes

Op 19 april 2026 maakte cloudontwikkelplatform Vercel een beveiligingsincident bekend waarbij ongeautoriseerde toegang tot bepaalde interne systemen werd verkregen. In het eigen bulletin van het bedrijf en in vervolgverklaringen van CEO Guillermo Rauch wordt een aanvalsketen beschreven die de manier waarop elke CISO naar SaaS supply chain-risico’s kijkt in 2026 fundamenteel zou moeten veranderen.

Belangrijkste inzichten

  1. De aanval begon bij een AI-tool, niet bij Vercel. Aanvallers compromitteerden Context.ai, een externe AI-tool die door een Vercel-medewerker werd gebruikt, en gebruikten vervolgens de Google Workspace OAuth-app van Context.ai om toegang te krijgen tot Vercel’s interne systemen.
  2. OAuth-apps zijn het nieuwe vertrouwde toegangskanaal tot je identity provider. Elke “Inloggen met Google”-toestemming die een medewerker accepteert, vormt een hardnekkig toegangskanaal. De meeste organisaties hebben deze nog nooit gecontroleerd.
  3. “Niet-gevoelige” omgevingsvariabelen bleken zeer gevoelig te zijn. Vercel vraagt nu klanten om alle niet-gevoelige variabelen te vervangen, omdat aanvallers deze hebben opgesomd om geheimen te extraheren die eigenlijk hoger geclassificeerd hadden moeten zijn.
  4. Supply chain-risico is verschoven naar de AI-tool-laag. De AI-tool-goudkoorts van de afgelopen 18 maanden heeft de goedkeuringsdrempel voor SaaS-integraties verlaagd. Aanvallers hebben dit opgemerkt.
  5. Control planes zijn effectiever dan point solutions wanneer een leverancier wordt getroffen door een datalek. Wanneer geheimen zich in één gereguleerde uitwisselingslaag met een uniforme audittrail bevinden, zijn rotatie, beperking van de impact en het genereren van bewijs binnen enkele uren geregeld in plaats van weken.

De aanval begon niet bij Vercel. Het begon bij Context.ai, een externe AI-tool die een Vercel-medewerker gebruikte om agents te bouwen die getraind zijn op bedrijfsspecifieke kennis. Context.ai had een Google Workspace OAuth-app-integratie gekregen met inzetniveauscopes. Toen Context.ai zelf werd gecompromitteerd, erfde de aanvaller een bevoorrechte positie in het Google Workspace-account van de medewerker — en van daaruit toegang tot de omgevingen van Vercel.

Eenmaal binnen somde de aanvaller omgevingsvariabelen op die in het Vercel-dashboard niet als “gevoelig” waren gemarkeerd, waarvan er veel nog steeds API-sleutels, tokens, database-inloggegevens en ondertekeningssleutels bevatten. Vercel vraagt klanten nu deze geheimen te vervangen, ook al waren ze onder de gevoelige categorie geclassificeerd, omdat de opsomming door de aanvaller ze alsnog in scope bracht. Het bedrijf omschrijft de tegenstander als “zeer complex” op basis van operationele snelheid en diepgaande kennis van Vercel’s systemen.

Dit is geen Vercel-specifiek verhaal. Dit is het beeld van een SaaS supply chain-compromittering in 2026: initiële toegang via een AI-tool waar het centrale securityteam geen zicht op had, laterale beweging via OAuth-toestemmingen die niemand had gecontroleerd, en impact die zich uitstrekt tot elke downstreamklant wiens geheimen op het gecompromitteerde platform stonden. Het Vercel-incident is het incident; het patroon is de les.

Waarom cloudontwikkel- en inzetplatforms waardevolle doelwitten zijn

Cloudontwikkel- en CI/CD-platforms verzamelen precies het soort data dat het werk van een aanvaller eenvoudig maakt na één enkele inloggegevenscompromittering. Ze bevatten omgevingsvariabelen, inzet-tokens, repository-integraties, OAuth-toestemmingen en build-artifacten voor duizenden downstreamklanten. Een datalek op het platformniveau betekent een datalek voor iedereen die ervan afhankelijk is.

Het
https://www.crowdstrike.com/en-us/global-threat-report/CrowdStrike 2026 Global Threat Report documenteert dit patroon als een belangrijke trend voor 2025–2026. Tegenstanders richten zich steeds vaker op de SaaS- en CI/CD-laag omdat deze platforms minder worden gemonitord dan endpoints, terwijl ze per datalek meer gevoelige data bevatten dan een individuele werkplek. In hetzelfde rapport wordt de diefstal van Salesloft/Drift OAuth-tokens genoemd als een eerder voorbeeld van hetzelfde type aanval — SaaS-naar-SaaS-pivoting via gestolen integratietokens — en worden de npm BeaverTail- en ShaiHulud-campagnes beschreven als parallelle supply chain-compromitteringen via pakketregisters.

De IBM 2026 X-Force Threat Intelligence Index onderstreept deze trend met een specifiek cijfer: een stijging van 44% jaar-op-jaar in aanvallen die begonnen met het uitbuiten van publiek toegankelijke applicaties. Nog relevanter voor het Vercel-geval: IBM zag in 2025 ongeveer 300.000 AI-chatbot-inloggegevens te koop op criminele marktplaatsen. Wanneer AI-platforms zelf credential brokers worden, wordt elke OAuth-toestemming die deze platforms beheren een potentiële aanvalsvector.

Het Global Cybersecurity Outlook 2026 van het World Economic Forum voegt het perspectief van het management toe: supply chain-kwetsbaarheden staan al twee jaar op rij op de tweede plaats van meest zorgwekkende cyberrisico’s voor CISO’s, en overname-risico — het onvermogen om de integriteit van software, hardware en diensten van derden te waarborgen — is nu de grootste zorg binnen de supply chain. Het Vercel-incident laat zien hoe overname-risico eruitziet wanneer de derde partij een AI-tool is met een OAuth-toestemming die niemand heeft beoordeeld.

Het AI-tool-als-aanvalsvector-patroon is nieuw en groeit snel

Tot ongeveer 18 maanden geleden verliepen SaaS supply chain-aanvallen meestal via bekende leverancierscategorieën: CRM-plugins, e-mailbeveiligingstools, marketingautomatisering. Het Vercel-incident toont aan hoe het aanvalsoppervlak is uitgebreid naar een nieuwe categorie — AI-platforms die via OAuth zijn geïntegreerd in de corporate identity provider — waarvoor de meeste securityteams nog geen governance hebben ingericht.

De schaal van het probleem is gedocumenteerd. Het DTEX 2026 Insider Threat Report, opgesteld met het Ponemon Institute, identificeert shadow AI als de belangrijkste oorzaak van nalatige insider-incidenten en schat de jaarlijkse kosten van insiderrisico op $19,5 miljoen per organisatie. Opvallend is dat 92% van de respondenten aangeeft dat generatieve AI de manier waarop medewerkers informatie delen heeft veranderd, terwijl slechts 13% AI-gebruik heeft geïntegreerd in hun beveiligingsstrategie. Die kloof tussen AI-adoptie en AI-governance is precies de kloof die Context.ai heeft benut — of beter gezegd, die via Context.ai is benut.

Het Kiteworks 2026 Data Security and Compliance Risk Forecast Report kwantificeert de governancekant. Slechts 36% van de organisaties heeft enig zicht op hoe partners omgaan met data in AI-systemen. Slechts 43% heeft een gecentraliseerde AI Data Gateway; de overige 57% is gefragmenteerd, gedeeltelijk of heeft helemaal niets geregeld. En 30% noemt het omgaan met externe AI-leveranciers als de grootste beveiligingszorg — terwijl het zicht op dat risico zwak blijft in elke onderzochte sector.

Onafhankelijk academisch onderzoek bevestigt de blootstelling op ecosysteemniveau. Een studie van het 2026 IEEE Symposium on Security and Privacy naar 17 externe AI-chatbot-plugins die op meer dan 10.000 publieke websites werden gebruikt, ontdekte dat 15 van de 17 indirecte prompt-injectie mogelijk maken doordat ze geen onderscheid maken tussen vertrouwde en onbetrouwbare content. Een aparte analyse van 14.904 aangepaste GPT’s in het OpenAI-ecosysteem wees uit dat meer dan 95% onvoldoende beveiligingsmaatregelen heeft. Elk van deze tools kan door een medewerker een OAuth-scope krijgen, en elke toestemming kan een potentiële Context.ai worden.

“Niet-gevoelige” omgevingsvariabelen waren nooit echt niet-gevoelig

Een van de meest leerzame details in de Vercel-onthulling is de classificatiefout. Vercel biedt een “gevoelig”-vinkje voor omgevingsvariabelen dat ervoor zorgt dat ze versleuteld worden opgeslagen en niet via het dashboard kunnen worden uitgelezen. Omgevingsvariabelen die niet als gevoelig zijn gemarkeerd, zijn nog steeds versleuteld, maar hun waarden zijn toegankelijk voor geautoriseerde sessies — en dus voor elke aanvaller die een geautoriseerde sessie erft via een gecompromitteerde OAuth-toestemming.

In de praktijk werd de “niet-gevoelige” classificatie een handige standaard. Ontwikkelaars sloegen API-sleutels, database-URL’s, tokens van betaaldienstverleners en ondertekeningssleutels op in niet-gevoelige variabelen, omdat het markeren als gevoelig een extra stap vereiste. De aanvaller somde deze waarden op tijdens het blootstellingsvenster. Vercel adviseert klanten nu om aan te nemen dat elk gerelateerd geheim risico loopt totdat het onderzocht is.

Dit is een governancefout die zich voordoet als een keuzemogelijkheid in functionaliteit. Wanneer er een classificatiesysteem bestaat maar de standaard “niet doen” is, heeft de classificatie geen effect. Het Kiteworks 2026 Data Security and Compliance Risk Forecast Report signaleert dit patroon breder binnen AI-governance: 63% van de organisaties heeft geen doelgebonden beperkingen op agent-autorisatie, en 33% mist een bruikbare audittrail voor AI-operaties. Wanneer controles bestaan maar de standaardinstellingen te soepel zijn, overleven de controles een echte aanval niet.

De les gaat veel verder dan Vercel. Elk platform dat gebruikers vraagt om zelf data als gevoelig te classificeren — omgevingsvariabelen, rechten voor bestandsoverdracht, partner-maptoegang, AI-promptcontext — zal zien dat de standaardoptie in de overgrote meerderheid van de gevallen wordt gekozen. Standaardbeveiliging is de enige beveiliging die standhoudt. Standaarden die expliciete verhoging naar “gevoelig” vereisen, falen elke keer dat een engineer haast heeft — wat elke dag het geval is.

Het control plane-antwoord: waarom uniforme governance de impact beperkt

Het Vercel-incident is een schoolvoorbeeld voor het control plane-model van veilige data-uitwisseling. Wanneer geheimen, bestanden, e-mail, SFTP, beheerde bestandsoverdracht, webformulieren en AI-integraties verspreid zijn over tien verschillende tools — elk met een eigen beleid, eigen auditlog en eigen OAuth-integraties — leidt één compromis tot een week incidentrespons verspreid over tien verschillende supporttickets van leveranciers. Wanneer diezelfde data-uitwisselingskanalen binnen één gereguleerd platform vallen, is de respons uren in plaats van weken, en is het bewijs geconsolideerd in plaats van versnipperd.

Kiteworks is op deze architectuur gebouwd. Het Kiteworks Private Data Network consolideert e-mail, bestandsoverdracht, SFTP, beheerde bestandsoverdracht, webformulieren, API’s en AI-integraties in één geharde virtuele appliance met één beleid, één geconsolideerde auditlog en één beveiligingsstatus. De Kiteworks Secure MCP Server en AI Data Gateway breiden diezelfde governance-laag uit naar AI-platforms zelf — zodat wanneer een externe AI-tool data opvraagt, het verzoek wordt geauthenticeerd via OAuth 2.0, beoordeeld op rolgebaseerde en op attributen gebaseerde toegangscontrole, realtime gelogd en beperkt in snelheid om bulkopsomming van het type dat bij Vercel plaatsvond te voorkomen.

De architecturale implicaties zijn concreet. In een control plane-model worden tokens voor AI-platforms niet achtergelaten in OS-keychains of Google Workspace OAuth-toestemmingen; ze worden opgeslagen in geharde, geïsoleerde omgevingen met beleidsbeoordeling per verzoek. Omgevingsvariabelen en geheimen voor downstreamsystemen worden standaard geclassificeerd en uniform beheerd, in plaats van verspreid over tien verschillende cloudconsoles met tien verschillende standaardinstellingen. Wanneer een incident als Context.ai zich voordoet, beantwoordt de geconsolideerde auditlog de forensische vragen binnen enkele uren: wie had wanneer, via welk kanaal, met welke OAuth-scope toegang tot wat. En omdat dezelfde beleidmotor elk data-uitwisselingspad regelt, is het beperken van de impact een enkele beleidswijziging, geen sprint van tien gecoördineerde acties.

Dit is waar het WEF Global Cybersecurity Outlook 2026 op doelt wanneer het “beperkt zicht” noemt als het grootste supply chain-cyberrisico in alle sectoren. Zichtbaarheid is een functie van architectuur. Gefragmenteerde tools leveren gefragmenteerd zicht op. Geünificeerde tools leveren geünificeerd zicht op. Het Vercel-incident herinnert eraan dat zichtbaarheid geen scanprobleem of vragenlijstprobleem is — het is een architectuurprobleem.

Wat elke organisatie deze week zou moeten doen

Inventariseer eerst je externe OAuth-apps in Google Workspace en Microsoft 365. Trek het OAuth-app-rapport uit beide identity providers en identificeer elke app met gevoelige scopes — Drive, Gmail, Calendar, admin directory. De meeste organisaties hebben dit rapport nog nooit gedraaid, en de lijst zal langer zijn dan verwacht. Zet scopes met hoge waarde op een expliciete allowlist in plaats van goedkeuring door gebruikers, en voer een kwartaalreview in. Het Vercel incident response-stappenplan op GitHub is een handig referentiepunt voor de specifieke stappen.

Ten tweede, ga ervan uit dat niet-gevoelige omgevingsvariabelen gevoelig zijn totdat het tegendeel is bewezen. Elke omgevingsvariabele die een API-sleutel, database-inloggegevens, betaaldiensttoken of ondertekeningssleutel bevat, moet standaard in de hoogste beschikbare categorie worden geclassificeerd. Vervang elk geheim dat in een niet-gevoelige categorie stond op een SaaS-platform tijdens het Vercel-blootstellingsvenster (voorzichtigheidshalve 1–20 april 2026) en beschouw deze vervangingsactie als het uitgangspunt voor een bredere geheimenhygiëne.

Ten derde, eis OAuth-scope-minimalisatie voor elke AI-tool die je medewerkers gebruiken. AI-platforms vragen vaak bredere scopes dan nodig — volledige Gmail-toegang terwijl alleen agenda-lezen nodig is, of admin directory-toegang terwijl alleen gebruikersprofieldata nodig is. Weiger verzoeken voor scopes die verder gaan dan de gedocumenteerde functie van de tool, en blokkeer de integratie volledig als de leverancier niet kan uitleggen waarom elke scope vereist is.

Ten vierde, behandel elke AI-integratie als een databeheerder binnen je compliance-framework. Als je organisatie onder HIPAA, GDPR, CMMC, PCI DSS of een ander framework valt dat formele afspraken met gegevensverwerkers vereist, zijn AI-platforms die via OAuth in je identity provider zijn geïntegreerd gegevensverwerkers. Ze moeten in je leveranciersinventaris staan, onder een DPA vallen en onderworpen zijn aan een DPIA als er sprake is van hoog-risicodata. Het Kiteworks 2026 Data Security and Compliance Risk Forecast Report meldt dat 89% van de organisaties nog nooit gezamenlijke incident response-oefeningen met partners heeft uitgevoerd — de eerste keer zou niet tijdens een live-incident moeten zijn.

Ten vijfde, consolideer je data-uitwisselings-aanvalsoppervlak. Elk extra point tool voor e-mail, bestandsoverdracht, MFT, webformulieren en AI-integraties betekent een extra OAuth-toestemming, een extra auditlog, een extra beleidmotor en een extra fragment in je impactgebied wanneer een incident als Vercel zich voordoet. De trend in 2026 is richting geünificeerde control planes voor data-uitwisseling — omdat de trend bij aanvallers juist is om te profiteren van precies de scheidslijnen die fragmentatie veroorzaakt.

Het Vercel-incident zal niet het laatste AI-tool-als-initiële-vector-datalek van 2026 zijn. Het zal niet eens het grootste zijn. Wat het wél zou moeten zijn, is het moment waarop securityteams stoppen met het behandelen van AI-platforms als productiviteitstools die toevallig OAuth-integraties hebben, en ze gaan zien als de databeheerders die ze stilletjes zijn geworden.

Veelgestelde vragen

Begin met het controleren van OAuth-toestemmingen in je identity provider. Een Vercel-achtige aanval begint wanneer een externe SaaS-app met brede Google Workspace- of Microsoft 365-scope wordt gecompromitteerd. Het Vercel April 2026-bulletin beschrijft deze exacte keten. Inventariseer elke gekoppelde app, beperk scopes met hoge waarde tot een allowlist en vereis goedkeuring van security voor nieuwe OAuth-toestemmingen met gevoelige scopes.

Ja. Elk AI-platform met OAuth-toegang tot e-mail, agenda, documenten of CRM-data verwerkt persoonsgegevens namens jou en kwalificeert als gegevensverwerker onder GDPR Artikel 28. Het Kiteworks 2026 Data Security and Compliance Risk Forecast Report laat zien dat slechts 36% van de organisaties zicht heeft op het AI-datagebruik van partners — een aanzienlijk compliance-gat voor elke gereguleerde sector.

Vervang direct elke niet-gevoelige variabele en onderzoek gevoelige variabelen op tekenen van toegangspogingen. De richtlijnen van Vercel bevestigen dat aanvallers niet-gevoelige variabelen hebben opgesomd tijdens het blootstellingsvenster. Gebruik 1 april 2026 tot heden als een conservatieve ondergrens voor het blootstellingsvenster en breid de rotatie uit naar elke downstreamdienst die deze geheimen heeft gebruikt.

Een control plane consolideert data-uitwisselingskanalen — e-mail, bestandsoverdracht, MFT, SFTP, webformulieren, API’s en AI-integraties — onder één beleidmotor, één auditlog en één beveiligingsarchitectuur. Platforms zoals Kiteworks zijn op dit model gebouwd. De boodschap voor de board is dat fragmentatie de oorzaak is van zichtproblemen, en zichtbaarheid is wat het WEF Global Cybersecurity Outlook 2026 aanwijst als het grootste supply chain-risico.

Gereguleerde AI-data-toegang betekent dat elk AI-verzoek wordt geauthenticeerd, beoordeeld op rolgebaseerde en op attributen gebaseerde toegangscontrole, realtime gelogd en gelimiteerd — in plaats van dat de tool hardnekkige brede toegang erft via een OAuth-toestemming. De Secure MCP Server en Kiteworks AI Data Gateway implementeren dit patroon, waarbij tokens in OS-keychains worden opgeslagen in plaats van ze bloot te stellen aan AI-modellen en elk dataverzoek tegen beleid wordt getoetst voordat er content wordt teruggegeven.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks