Взлом Vercel, баги Mythos и кризис backlog в безопасности

Взлом Vercel, 271 баг в Firefox и рост CVE backlog показывают: украденные credentials и перегрузка уязвимостями стали новой нормой.

2026-05-12 GIGATAP Team #opsec
#incident-response#cloud-security#identity-security

Взлом Vercel показывает новую норму: украденные creds + слишком много багов

Источник: https://risky.biz/RB834/

Одна неделя новостей по безопасности может выглядеть как набор несвязанных событий: инцидент на cloud-платформе, AI-инструмент, нашедший сотни software bugs, и очередные DDoS-сбои. Но выпуск Risky Business #834 складывает эти темы в более цельную картину: identity compromise по-прежнему остается самым чистым способом попасть внутрь, а защитники тонут в огромном количестве вещей, которые потенциально могут быть уязвимы.

Это практичный recap того, что следует из описания выпуска и связанных материалов, плюс что можно безопасно предположить — и чего предполагать не стоит.

Что известно из источника#

Vercel: breach с намеками на цепочку infostealer/employee compromise#

Risky Business пишет, что “Vercel got owned”, и добавляет, что есть “few infostealer and compromised employee dots to connect”. Страница также указывает на связанные с Vercel материалы об инциденте, включая заметку о том, что breach был связан с infostealer-инфекцией в Context.ai, а также что Vercel подтвердил breach после того, как хакеры заявили о продаже украденных данных.

На этом уровне детализации твердо можно сказать несколько вещей:

  • В апреле 2026 года у Vercel был security incident.
  • Vercel подтвердил breach (согласно linked reference на странице выпуска).
  • Reporting link подразумевает, что infostealer-инфекция в Context.ai была частью этой истории.

Что здесь не установлено — и должно считаться неизвестным, пока вы напрямую не прочитаете и не проверите linked reporting: какие именно данные были доступны, насколько широким было влияние на клиентов, какие внутренние системы были затронуты, и является ли infostealer-link подтвержденной root cause или лишь правдоподобным путем, который расследуется.

Mozilla + Mythos: 271 баг найден и исправлен в Firefox#

Страница выпуска отмечает, что Mozilla использовала Anthropic Mythos, чтобы найти 271 bug, подавая это как признак более широкой “bug-pocalypse”. Заголовок связанного материала также говорит, что Mozilla использовала Mythos, чтобы найти и исправить 271 bug в Firefox.

Это число важно не как scoreboard, а как сигнал о процессе: если команды могут надежно находить сотни issues с помощью новых tooling, ограничивающим фактором становятся human review, prioritization и безопасная доставка fixes — особенно когда эти findings ложатся поверх уже перегруженной vulnerability ecosystem.

NIST “nopes out” из обогащения bugs на фоне роста CVE pressure#

Risky Business прямо связывает “bug-pocalypse” с вопросом: является ли overload частью причины, по которой NIST ограничивает vulnerability analysis/enrichment? Страница выпуска ссылается на материал о том, что NIST ограничивает vulnerability analysis по мере роста CVE backlog.

Даже без деталей направление понятно: vulnerability pipeline — identification, description, scoring, enrichment и дальнейшая упаковка в patch и detection guidance — ограничен capacity. Если enrichment замедляется, организации, которые полагаются на эти metadata для prioritization, это почувствуют.

NSA и Mythos: использование продолжается несмотря на контекст DoD blacklist#

Страница выпуска также отмечает, что NSA использует Mythos, хотя правительство США ранее внесло Anthropic в blacklist — в контексте Defense Department, согласно framing выпуска. Там есть ссылка на историю о том, что NSA использует Anthropic Mythos несмотря на Defense Department blacklist.

Главный operational takeaway здесь не политика, а то, что adoption инструментов внутри больших институтов редко бывает единообразным. Разные части government — и разные regulated enterprises — могут прийти к несогласованным risk decisions по одному и тому же vendor или model, что создает ambiguity в supply chain и governance для партнеров.

DDoS против небольших social platforms#

Наконец, страница выпуска указывает на DDoS-инциденты, затронувшие небольшие social platforms, а связанные материалы упоминают сбои Bluesky и Mastodon.

Как техника это не ново. Но это по-прежнему reminder: availability attacks остаются дешевым способом создать заметный impact — особенно для сервисов, у которых менее зрелая DDoS mitigation и ограниченный operational headcount.

Почему это важно, даже если вы не используете Vercel или Firefox#

Общая тема — scaling pressure.

  1. Identity compromise остается intrusion path с максимальным leverage.

Если инцидент Vercel действительно связан с infostealer и compromised employees, это усиливает паттерн, который защитники уже знают: атакующим не нужен новый 0-day, если они могут купить рабочие credentials, украсть session tokens или пройти через legitimate access с developer laptop в production tooling.

В cloud-экосистемах этот риск выше, потому что:

  • небольшое число accounts может иметь непропорционально широкие permissions.
  • Access часто API-driven, что делает credential misuse быстрым и автоматизируемым.
  • “Who did what” зависит от logs, а расследования — от log retention и качественной identity telemetry.
  1. Vulnerability ecosystem смещается от “найти баги” к “решить, что действительно важно”.

Число Mozilla в 271 bug само по себе не доказывает, что software внезапно стал хуже. Это evidence того, что discovery становится быстрее, а remediation capacity становится bottleneck.

Если организация внедряет AI-assisted code review или fuzzing, ожидания нужно задавать заранее:

  • какие категории findings исправляются немедленно: memory safety, auth bypass risk, injection primitives;
  • какие findings попадают в queue;
  • какая reproducibility и minimal proof нужны для high-priority fixes;
  • сколько remediation capacity реально доступно, а не сколько bugs можно найти.

Что не стоит преувеличивать#

По странице Risky Business episode нельзя делать слишком широкие выводы.

  • Не стоит считать точный intrusion path Vercel подтверждённым, если источник говорит о “dots to connect”.
  • Не стоит считать все 271 Firefox bugs severe или exploitable. “Bugs” охватывает разные классы проблем.
  • Не стоит говорить, что NIST enrichment limits означают конец scoring. Это capacity signal, а не отмена triage.
  • Не стоит превращать DDoS disruptions в claim о data theft или deeper compromise без отдельного evidence.

Что проверить дальше#

Если тема касается вашей среды, быстрее всего уточнить решения через primary statements и linked reporting:

  • Vercel incident communication: scope, impacted systems и recommended customer actions.
  • Reporting по alleged infostealer connection: что sourced, а что speculative.
  • Mozilla/WIRED details по Mythos findings: classes of bugs, methodology и что было fixed.
  • NIST changes: какие enrichment steps reduced, какие timelines и coverage affected.

Source: https://risky.biz/RB834/