A Vercel, uma das principais plataformas de hospedagem de aplicações web usado por desenvolvedores brasileiros, sofreu uma invasão significativa em abril de 2026 causada pela concessão excessiva de permissões a uma ferramenta de inteligência artificial de terceiros. O ataque permaneceu despercebido por dois meses antes de ser descoberto quando os criminosos decidiram monetizar o roubo.
Um funcionário da Vercel autorizou um aplicativo de inteligência artificial a acessar a plataforma através de OAuth, um protocolo que permite que aplicativos terceirizados obtenham permissões para agir em seu nome. O problema? O app possuía permissões "Workspace" amplas demais, o que significa que praticamente qualquer ação realizada na Vercel podia ser executada por aquela ferramenta.
O ataque foi orquestrado através de uma cadeia de suprimentos: primeiro, o malware Lumma Stealer infectou um servidor de uma empresa chamada Context.ai, que desenvolve ferramentas de inteligência artificial. Essa infecção permitiu que hackers roubassem credenciais OAuth, que posteriormente usaram para acessar a Vercel e explorar dados sensíveis de clientes.
Um detalhe preocupante: a própria Vercel não descobriu a violação. Foram os criminosos que divulgaram publicamente os dados roubados, forçando a empresa a agir e comunicar o incidente aos usuários afetados. Isso significa que a invasão permaneceu ativa por aproximadamente 60 dias sem detecção.
Este incidente ilustra um risco emergente em 2026: a proliferação de ferramentas de inteligência artificial cria novas oportunidades de ataque. Funcionários autorizam aplicativos pensando que estão apenas adicionando uma ferramenta prática ao fluxo de trabalho, mas não consideram o risco de segurança.
Os especialistas agora enfatizam que o "grafo OAuth" é o novo perímetro de segurança das empresas. A maioria das organizações não possui um inventário de quais aplicativos terceirizados seus funcionários autorizaram. Isso cria um ponto cego crítico na defesa corporativa.
Se você usa plataformas como Vercel ou outras ferramentas em nuvem, revise regularmente quais aplicativos você autorizou. Mantenha as permissões no mínimo necessário e revogar acesso de ferramentas que não usa mais. Para empresas, implementar auditorias periódicas de aplicativos autorizados é agora uma necessidade urgente, não um luxo.