Summary of CVE-2026-23869★ 75
Vercel Changelog55d agoIncidentVercel 於 Changelog 發布了關於安全漏洞 CVE-2026-23869 的摘要公告。雖然目前詳細的技術細節與受影響範圍尚未完全公開,但此類 CVE 通常關乎 Next.js 框架、Vercel CLI 或 Serverless 執行環境的安全。建議使用 Vercel 部署服務的開發團隊密切留意官方後續的修補指引,並檢視專案依賴。
Zero Data Retention on AI Gateway★ 75
Vercel Changelog55d agoReleaseVercel 宣布為其 AI Gateway 推出「零數據留存 (Zero Data Retention)」功能。此更新確保開發者在透過 Vercel 介接各家 AI 模型時,所有的 Prompt 和 Completion 數據皆不會被 Vercel 伺服器留存。這項安全升級能幫助企業輕鬆符合 GDPR、SOC2 等嚴格的隱私合規標準,消除企業將敏感數據送往 AI 網關時的資安疑慮。
Safetensors is Joining the PyTorch Foundation★ 75
Hugging Face Blog55d agoBusinessHugging Face 宣布其開發的安全且高效的模型權重儲存格式 Safetensors 正式加入 PyTorch 基金會。此舉旨在提升該格式的社群治理與中立性,並進一步鞏固其作為機器學習生態系中安全儲存張量的業界標準。未來雙方將共同推動更安全、更快速的模型載入技術。
Team-wide Zero Data Retention and prompt training controls now on AI Gateway★ 70
Vercel Changelog57d agoReleaseVercel 宣布為其 AI Gateway 推出團隊級的「零數據殘留(Zero Data Retention)」與「禁止 Prompt 訓練」控制功能。這項更新讓企業與開發團隊能夠集中管理隱私設定,確保所有通過 Gateway 的 AI 請求都不會被儲存,且不會被 LLM 供應商用於模型訓練,大幅提升企業級應用的合規性與安全性。
Axios package compromise and remediation steps★ 85
Vercel Changelog63d agoIncident熱門 JavaScript 套件 Axios 傳出安全入侵事件,Vercel 官方緊急發布安全公告。此事件可能導致建置或執行期引入惡意程式碼。開發者應立即檢查專案的 package.json 與 Lock 檔案,並依循指引進行套件更新、清除 Vercel 快取並重新部署,以防敏感憑證外洩。
Agent responsibly★ 75
Vercel Changelog64d agoOpinionVercel 針對日益普及的 AI Agent 開發提出「Agent responsibly」倡議。文章聚焦於開發者在部署 Agent 時面臨的挑戰,包括無限循環、高昂成本、安全漏洞(如提示詞注入)以及用戶隱私問題。Vercel 結合其 AI SDK 與平台特性,提供了防護欄(Guardrails)、速率限制、可觀測性等實用解決方案,幫助開發者構建既強大又安全的 Agent 應用。
Sandbox SDK adds file permission control
Vercel Changelog74d agoReleaseVercel 宣布為其 Sandbox SDK 推出「檔案權限控制」功能。此更新讓開發者在運行 AI 生成的程式碼或未授權程式碼時,能夠精細設定沙盒環境內的檔案讀取、寫入與執行權限。這項安全升級能有效防止惡意程式碼存取敏感系統檔案,是構建安全 AI Agent 應用的重要里程碑。
End-to-end encryption for Vercel Workflow★ 70
Vercel Changelog77d agoReleaseVercel 宣布為其工作流引擎 Vercel Workflow 推出端到端加密(E2EE)功能。 此更新確保在多步驟工作流中傳遞的 payload、步驟狀態及輸出數據,在傳輸與儲存時皆處於加密狀態。 這項安全升級讓開發者能在 Vercel 上更安全地處理 AI 代理(Agents)的敏感數據、個人隱私(PII)與企業機密。
Deprecating the DHE cipher suite for TLS connections
Vercel Changelog82d agoReleaseVercel 宣佈將棄用用於 TLS 連線的 DHE(Diffie-Hellman Ephemeral)加密套件。此舉旨在提升平台整體的網路安全標準,並推廣更現代、更安全的 ECDHE 或 TLS 1.3 加密演算法。雖然絕大多數現代瀏覽器不受影響,但使用極舊版客戶端或特定後端整合的開發者需留意連線相容性。
How Notion Workers run untrusted code at scale with Vercel Sandbox★ 75
Vercel Changelog82d agoRelease本文介紹 Notion 全新推出的 Notion Workers 如何解決安全執行第三方程式碼的挑戰。透過採用 Vercel Sandbox 技術,Notion 能夠在極低延遲下,將用戶編寫的程式碼隔離在安全的微型虛擬化環境(Micro-VM)中執行。這項合作不僅確保了多租戶環境的安全隔離,也實現了高彈性的水平擴展能力,為 SaaS 平台安全開放客製化功能樹立了新標竿。
Developer role now available for Pro teams
Vercel Changelog96d agoReleaseVercel 宣布為 Pro 團隊方案推出全新的「Developer(開發者)」角色。此功能讓 Pro 團隊能進行更細緻的權限控制(RBAC),使成員能專注於部署與專案開發,同時限制其存取帳務或團隊設定等敏感資訊,大幅提升團隊協作的安全性與效率。
Activity log now tracks 100% of team and project changes
Vercel Changelog97d agoReleaseVercel 宣布其「活動紀錄(Activity Log)」功能重大升級,現在已可 100% 追蹤並記錄所有團隊與專案層級的變更。這項更新讓團隊管理者能更輕鬆地進行安全審計、排查設定錯誤,並掌握專案的歷史異動。不論是成員權限調整還是專案配置修改,所有操作都將完整記錄。
Security boundaries in agentic architectures★ 75
Vercel Changelog98d agoOpinion隨著 AI Agent(代理)逐漸具備自主執行工具與呼叫 API 的能力,傳統的安全防護已不敷使用。Vercel 提出在代理式架構中建立「安全邊界」的關鍵指引,強調必須實施執行期沙盒化(Sandboxing)、嚴格的最小權限原則(Least Privilege),以及在關鍵決策中引入「人工確認(Human-in-the-loop)」機制,以防止提示詞注入與越權操作。
Safely inject credentials in HTTP headers with Vercel Sandbox
Vercel Changelog99d agoReleaseVercel 宣布為其 Sandbox 環境推出新安全功能,支援在 HTTP 標頭中安全注入憑證。此功能讓開發者在執行未授權或第三方程式碼時,能安全地與外部 API 進行身分驗證,而不會將敏感的 API 金鑰或 Token 暴露給沙盒內運行的程式碼,大幅提升了 AI Agent 或動態程式碼執行環境的安全性。
Private storage for Vercel Blob, now available in public beta
Vercel Changelog103d agoReleaseVercel 宣布其物件儲存服務 Vercel Blob 正式推出「私有儲存(Private Storage)」公開測試。此功能改變了以往 Blob 檔案預設皆為公開的限制,允許開發者將敏感檔案設為私有。開發者現在可以透過伺服器端驗證或產生具時效性的簽名 URL(Signed URLs)來安全地存取檔案,非常適合處理用戶個資、付費內容與內部文件。
Automated security audits now available for skills.sh
Vercel Changelog105d agoReleaseVercel 於 Changelog 宣布,正式為 skills.sh 啟用自動化安全審計功能。此舉旨在自動偵測並修復潛在的安全漏洞,確保開發者在該平台上學習與互動時的程式碼與資料安全,這也是 Vercel 持續強化其平台生態系安全防護的一環。
New deployments with vulnerable versions of the third-party package next-mdx-remote are now blocked by default
Vercel Changelog110d agoReleaseVercel 官方發布更新,針對熱門第三方套件 next-mdx-remote 的安全漏洞採取主動防禦措施。即日起,任何嘗試部署含有受漏洞影響之 next-mdx-remote 版本的專案都將被預設阻擋。開發者必須將該套件升級至安全版本,才能順利在 Vercel 上完成部署,以確保網站與應用的安全性。
Advanced egress firewall filtering for Vercel Sandbox
Vercel Changelog111d agoReleaseVercel 針對其 Sandbox 環境推出「進階輸出防火牆過濾」功能。此更新讓開發者能精細限制沙盒內程式碼可存取的外部網域、IP 與連接埠,有效防止資料外洩與 SSRF 攻擊。這對於需要安全執行 AI 生成程式碼或第三方腳本的開發團隊來說,是一項關鍵的安全升級。
Support for Sign in with Apple
Vercel Changelog112d agoReleaseVercel 宣布在其平台登入選項中新增支援「使用 Apple 登入 (Sign in with Apple)」。這項更新讓習慣 Apple 生態系的開發者能更快速、安全地存取 Vercel 帳密與專案,無須再手動輸入密碼或僅依賴 GitHub/GitLab 等第三方登入,並支援 Apple 的「隱藏電子郵件」隱私功能,提升了帳戶管理的彈性與安全性。
Introducing new token formats and secret scanning★ 75
Vercel Changelog113d agoReleaseVercel 宣布更新其 Token 格式,採用更易於辨識的標準化前綴,並推出金鑰掃描(Secret Scanning)功能。透過與 GitHub 等平台合作,當開發者不慎將 Vercel Token 推送至公開儲存庫時,系統能即時偵測並自動撤銷或發出警告,大幅提升專案安全性。
The Vercel OSS Bug Bounty program is now available
Vercel Changelog119d agoReleaseVercel 官方宣布推出「Vercel OSS 漏洞賞金計畫」,鼓勵全球安全研究人員與開發者協助找出其開源專案(如 Next.js、Turborepo 等)的安全漏洞。該計畫將依漏洞嚴重性提供獎金,旨在強化開源生態系的供應鏈安全,保障數百萬使用其技術的網站。
Vercel Sandboxes are now generally available★ 75
Vercel Changelog123d agoReleaseVercel 宣布 Vercel Sandboxes 正式啟用(GA)。這項功能提供了一個安全、隔離且快速啟動的運行環境,特別適合用於 AI 代理(AI Agents)的程式碼執行、動態原型設計以及不受信任程式碼的運行。開發者可以藉此輕鬆為 AI 應用建構類似 Code Interpreter 的功能,提升應用的互動性與安全性。
Run untrusted code with Vercel Sandbox, now generally available★ 80
Vercel Changelog123d agoReleaseVercel 宣布 Vercel Sandbox 正式全面開放(GA)。此功能專為現代 AI 應用設計,提供安全、隔離且低延遲的執行環境,讓開發者能安全地執行用戶提交或 AI 實時生成的程式碼(如 Code Interpreter 功能)。它與 Vercel 生態系深度整合,免去開發者自行維護複雜沙盒基礎設施的煩惱。
Summary of CVE-2026-23864★ 75
Vercel Changelog127d agoIncidentVercel 官方發布了關於 CVE-2026-23864 的安全漏洞總結報告。該公告旨在提醒使用 Vercel 平台及相關工具的開發者注意潛在的安全風險。官方建議開發者檢視專案依賴,並儘速升級至已修復的安全版本,以確保部署環境與應用程式的安全。
Summaries of CVE-2025-59471 and CVE-2025-59472★ 75
Vercel Changelog127d agoIncidentVercel 於 2026 年 1 月底發布了針對 CVE-2025-59471 與 CVE-2025-59472 兩個安全漏洞的摘要說明。這類漏洞通常涉及 Vercel 平台或其核心框架(如 Next.js)的路由、快取或伺服器端渲染安全。官方建議開發者密切關注其影響範圍,並透過升級相關套件與重新部署來確保應用程式安全。
Import AI 441: My agents are working. Are yours? ★ 75
Import AI (Jack Clark)134d agoCommentary在本期 Import AI 中,Jack Clark 探討了 AI Agent 的實用化轉折點,分享他如何將 Agent 融入日常工作流,指出 Agent 已從「玩具」走向「實用工具」。此外,本期也介紹了一項安全研究「毒泉(Poison Fountain)」,展示了攻擊者如何透過持續注入惡意數據,污染 AI 系統的長期記憶與檢索機制,對當前日益普及的 Agent 安全性敲響警鐘。
Protection bypass for automation now supports multiple secrets
Vercel Changelog140d agoReleaseVercel 宣布其「自動化保護繞過(Protection Bypass for Automation)」功能現已支援設定多個金鑰(Secrets)。這項更新允許開發團隊為不同的自動化測試工具(如 Playwright、Lighthouse)配置獨立的金鑰,並能在不中斷 CI/CD 流程的情況下安全地進行金鑰輪替,大幅提升預覽環境的安全管理彈性。
Set team-wide defaults for Deployment Protection
Vercel Changelog140d agoReleaseVercel 推出全新功能,允許團隊管理員為「部署保護(Deployment Protection)」設定團隊範圍的預設值。過去管理員需逐一為每個專案設定密碼保護或 Vercel 身份驗證,現在則可自動套用至所有新建立的專案。此更新大幅提升了企業與團隊在管理多個 Preview 部署時的安全合規性與管理效率。
Secure Compute is now self-serve
Vercel Changelog146d agoReleaseVercel 宣布其「Secure Compute」安全運算功能已轉為自助服務(Self-serve)模式。 企業用戶現在無需透過銷售或客服團隊,即可直接在 Vercel 控制台(Dashboard)中自主建立與配置專屬的獨立 IP 位址。 此更新大幅簡化了將 Vercel 專案安全連接至私有資料庫、內部 API 或 AWS VPC 等後端資源的設定流程。
Our $1 million hacker challenge for React2Shell★ 75
Vercel Changelog165d agoReleaseVercel 推出高達 100 萬美元的「React2Shell」黑客挑戰賽。該活動旨在測試其沙箱環境的安全性,挑戰者若能成功從 React 執行環境突破限制並取得底層 Shell 控制權(即 RCE 遠端代碼執行),即可獲得巨額賞金。這展現了 Vercel 對其託管與 AI 生成代碼預覽環境安全性的極高信心。