多數組織對員工使用未經批准的人工智慧工具感到擔憂是理所當然的。以LLM(生命週期管理)形式存在的影子人工智慧使用,即用戶將敏感資料上傳到ChatGPT、Claude或其他十幾個聊天機器人,確實令人擔憂,但這並非最大的隱憂。
當員工將 AI 應用程式連接到 Google Workspace、Microsoft 365、Salesforce 或任何其他核心平台時,他們就在您的環境和第三方之間創建了一個持久的、程式化的橋樑。即使員工停止使用該應用程序,這條橋樑也不會消失。如果第三方平台遭到入侵,這條橋樑就會成為直接攻擊您系統的途徑。
我們剛剛目睹了Vercel資料外洩事件的重演。 Context.ai的AI應用程式被Vercel的一名員工試用,該員工透過OAuth授權獲得了其Google Workspace帳戶的存取權限。 Context.ai遭到攻擊後,Vercel也受到了波及。
人工智慧的崛起是影子SaaS的倍增器
影子IT並非新問題。大多數企業都大量(甚至完全)依賴SaaS,透過瀏覽器存取,每個企業都部署了數百個應用程式。這些未經管理、用戶自行部署的應用程式長期以來一直是安全團隊的一大難題。而人工智慧的興起更是加劇了這個問題。在人工智慧應用領域,需要注意不同類型的影子IT:
✔ 影子應用:員工未經公司批准而註冊並用於業務用途的應用。這包括使用公司帳戶或個人帳戶註冊的應用程式。
✔ 影子租戶:員工使用個人帳戶存取的應用程序,本質上是在組織控制範圍之外創建影子租戶——即使您已經批准了該應用程式本身。
✔ 影子擴充:許多人工智慧應用都自帶擴充程序,此外還有無數第三方擴充程序,其中不乏不可信甚至惡意程式。瀏覽器擴充功能則從另一個角度增加了這種風險,因為它能讓我們窺見應用程式以外的瀏覽器活動。
✔ 影子整合:指在未經授權或未知的應用之間建立的 OAuth 連線。即使某個應用程式本身已獲批准,將其直接連接到您的主要企業應用程式(其中包含所有敏感資料和功能)也未必獲得批准。
以Vercel的案例為例,具體討論的是影子整合,這些都會為您的組織帶來重大風險。
人工智慧在企業中的廣泛應用
Vercel 安全漏洞清楚地表明了影子人工智慧整合的影響。Vercel公司的一名員工將一款人工智慧應用——具體來說,是Context.ai公司一款已停用的消費級產品「AI Office Suite」——連接到了他們的Google Workspace租戶中。而Vercel公司甚至不是Context.ai公司的註冊客戶。
這很可能是一個自助式試用版,它被整合到組織中,但使用頻率不高,然後就被遺忘了,從而為組織的攻擊面增加了一個看不見的節點。透過採用 Context.ai 應用,Vercel 的一名員工將第三方員工和系統作為安全依賴項添加進來。
當 Context.ai 隨後遭到入侵時(據稱是由於一名員工搜索 Roblox 作弊程序時感染了信息竊取程序,攻擊者能夠利用存儲在 Context.ai 環境中的 OAuth 令牌,進而入侵下游客戶帳戶。這其中包括 Vercel 員工的 Google Workspace,該帳戶恰好擁有良好的權限,可以存取內部儀表板、員工記錄、API 金鑰、NPM 令牌和 GitHub 令牌。
Vercel並非個案:攻擊者正在大規模地攻擊OAuth
廣泛的 OAuth 互聯互通不僅僅是人工智慧應用的問題。攻擊者已經利用這一點一段時間了,而且攻擊頻率正在加快:
✔ 2025年,Scattered Lapsus$ Hunters在攻破Salesloft(特別是Salesloft Drift平台)和Gainsight後,對Salesforce和Google Workspace租戶發動了基於OAuth的供應鏈攻擊。超過1000家機構受到影響,包括Google、Cloudflare、Rubrik、Elastic、Proofpoint、JFrog、Zscaler、Tenable、Palo Alto Networks、CyberArk、BeyondTrust、Qualys等眾多公司,超過15億筆記錄被盜。
✔ 資料異常檢測公司 Anodot 發生資料外洩事件,攻擊者試圖利用竊取的身份驗證令牌存取 Salesforce 數據,Snowflake 的客戶受到了影響,Rockstar Games 是其中一位知名受害者。
攻擊者不僅濫用現有的 OAuth 連接進行供應鏈攻擊,還利用以 OAuth 為中心的釣魚攻擊作為入侵受害者環境的入口。去年針對 Salesforce 的攻擊活動始於設備代碼釣魚,攻擊者誘騙受害者在其 Salesforce 租戶中註冊攻擊者控制的應用程序,從而授予攻擊者完整的 API 存取權限,進而竊取大量數據。
今年以來,我們觀察到設備代碼網路釣魚攻擊增加了 37 倍,目前有十幾個犯罪分子使用的 PhaaS 工具包正在流通。模式很明顯:OAuth 整合正成為企業環境中被濫用最可靠的攻擊面之一,員工連接的每個新的 AI 工具都會讓網路變得更大。
OAuth 的龐大網路遠遠超出了Google和微軟的範疇
Vercel 資料外洩事件具有代表性,但這只是揭示了問題的冰山一角。在企業主雲環境(例如 M365 或 Google Workspace)中控制 OAuth 非常簡單——這兩個平台都允許管理員審核和控制 OAuth 連線。如果 Vercel 的員工在未經管理員批准的情況下無法添加新的 OAuth 集成(只需在 Google 管理面板中添加一個開關),或者如果在例行審核中發現並移除該集成,Vercel 的資料外洩事件本可以避免。
但要對所有 SaaS 應用程式都執行此操作則困難得多。您不僅需要一份全面且最新的應用程式清單,還需要成為每個應用程式的管理員(對於自行部署的應用程式,情況並非總是如此),而且該應用程式還必須賦予您控制權限,以便代表租用戶中的使用者限制和撤銷 OAuth 授權。
想想典型的 AI 應用是如何運作的。如果你希望它能有效地自動化工作流程——從一個應用程式提取數據,在另一個應用程式中進行聚合和分析,將資訊呈現在報告、儀表板或簡報中,然後分發出去——僅僅一個工作流程就需要相當多的整合。 MCP 連線使用 OAuth 來實現這種互聯互通,就像其他任何 SaaS 應用程式一樣。我們過去常說像 Zapier 這樣的自動化應用是攻擊者的寶庫。而如今,人工智慧應用正朝著更互聯、使用更頻繁、攻擊者可以利用的手段也更加靈活多變的方向發展。
這是一個 SaaS OAuth 擴充功能的範例,涵蓋了從企業主雲端到核心應用再到更廣泛的 SaaS 服務。人工智慧應用以橙色突出顯示。
安全團隊現在該做什麼
✔ 加強 OAuth 授權控制。對於主要企業應用中的新集成,採用預設拒絕機制,允許使用者自行授權。這與我們近期針對瀏覽器擴充功能管理提出的原則相同-使用者未經授權不得建立新的信任關係。
✔ 審核已連接的設備。定期審核環境中已有的 OAuth 集成,確保它們仍然確有必要。每次整合都會擴大攻擊面,並可能賦予攻擊者廣泛的存取權限。
✔ 跳出谷歌和微軟的限制。控制企業主雲端中的 OAuth 固然必要,但這還不夠。 SaaS 之間的連結更難被察覺,控制措施也往往更少。您需要了解每個應用程式中發生的 OAuth 授權情況。
請記住,這並非僅僅是影子人工智慧的問題,即使人工智慧的普及確實對城市擴張產生了重大影響。
資料來源:https://www.bleepingcomputer.com/news/security/learning-from-the-vercel-breach-shadow-ai-and-oauth-sprawl/