Vercel平台遭入侵：环境变量成攻击跳板

很多AI初创把OpenAI API Key和数据库凭证直接塞进Vercel环境变量，默认以明文存储且可被团队所有成员读取。这次事件暴露了PaaS平台在便利性与安全性之间的根本张力：为了降低上手门槛，平台往往默认开放权限而非默认安全。

如果你在用Vercel部署生产级AI应用，建议立即启用Doppler或Infisical替代原生环境变量，并在CI/CD中加入TruffleHog扫描。更关键的是审查所有第三方OAuth集成权限，撤销不必要的GitHub/Vercel连接，因为任何被入侵的SaaS工具都可能成为读取你生产数据库凭证的跳板。