Referer now available in runtime logs
Vercel Changelog172d agoReleaseVercel 宣布在其執行階段日誌(Runtime Logs)中新增支援 HTTP `Referer` 資訊。開發者現在可以直接在 Vercel 控制台或匯出的日誌中,查看每個請求的來源網頁。這項改進將大幅提升除錯效率、安全分析能力,並有助於追蹤流量來源,無需再手動撰寫中間件(Middleware)來記錄此資訊。
React Server Components security update: DoS and Source Code Exposure★ 85
Vercel Changelog173d agoReleaseVercel 針對 React Server Components (RSC) 發布緊急安全更新。本次更新主要修復了兩個重大安全隱患:一是可能導致伺服器崩潰的阻斷服務(DoS)漏洞,二是可能意外暴露伺服器端原始碼或敏感資料的漏洞。建議所有使用 Next.js 及 RSC 技術的開發者立即將專案依賴項升級至最新版本以確保安全。
Automated React2Shell vulnerability patching is now available★ 85
Vercel Changelog176d agoReleaseVercel 針對嚴重的「React2Shell」遠端程式碼執行(RCE)漏洞,推出了平台層級的自動化修復機制。此功能會自動在 Vercel 託管環境中偵測並攔截惡意攻擊,或在建置時套用安全補丁。開發者無需手動修改程式碼、更新依賴或重新部署,即可確保 Next.js 與 React 專案的安全,極大地降低了安全維護成本並提供即時防護。
Unified security actions dashboard
Vercel Changelog176d agoReleaseVercel 發表全新的「統一安全行動儀表板」(Unified security actions dashboard),將平台上的各項安全防護功能整合至單一介面。開發與安全團隊現在可以在同一個地方監控、評估並快速回應各種安全威脅,如 DDoS 攻擊、惡意流量或憑證洩漏。此更新大幅簡化了多專案的安全管理流程,降低潛在的資安風險。
New deployments of vulnerable Next.js applications are now blocked by default★ 75
Vercel Changelog179d agoReleaseVercel 更新了其部署安全政策。現在起,若開發者嘗試部署使用舊版且含有已知安全漏洞的 Next.js 應用程式,Vercel 平台將預設予以阻擋。此舉旨在防止受漏洞威脅的網站上線,開發者需將 Next.js 升級至安全版本才能順利完成部署。
React2Shell Security Bulletin★ 85
Vercel Changelog179d agoIncidentVercel 針對近期受關注的 React2Shell 安全威脅發布官方公告。該漏洞主要影響 React 伺服器端渲染(SSR)與 Server Components 環境,可能導致遠端代碼執行(RCE)。Vercel 提供了包含 WAF 規則配置、核心套件升級以及程式碼審查指引等資源,幫助開發者保護部署在 Vercel 上的 Next.js 與 React 專案。
Summary of CVE-2025-55182
Vercel Changelog181d agoIncidentVercel 官方發布了關於編號 CVE-2025-55182 的安全漏洞摘要。雖然目前 Changelog 尚未公開具體的技術細節與受影響範圍,但此類漏洞通常與 Next.js 框架或 Vercel 部署平台的安全機制相關。建議開發者密切關注官方更新,並及時將相關套件升級至最新版本。
Deployments can now require cryptographically-verified commits
Vercel Changelog190d agoReleaseVercel 新增了一項安全防護功能,現在團隊可以強制要求所有觸發部署的 Git Commit 必須經過密碼學驗證(如 GPG、SSH 或 S/MIME 簽署)。這項功能旨在防止惡意第三方偽造開發者身分提交程式碼,進而觸發未授權的自動部署,能有效提升團隊的軟體供應鏈安全與 CI/CD 流程的可靠性。
Shai-Hulud 2.0 Supply Chain Compromise★ 75
Vercel Changelog190d agoIncidentVercel 於 Changelog 發布關於「Shai-Hulud 2.0」供應鏈妥協事件的安全公告。此類攻擊主要針對開源套件生態系(如 npm),可能影響部署於 Vercel 的應用程式。Vercel 已採取相應防護措施,並提醒開發者審查專案中的第三方依賴項目,鎖定套件版本,以確保建置流程與執行環境的安全。
Security through design: Creating the improved Firewall experience
Vercel Changelog190d agoReleaseVercel 發表了以「設計即安全」為核心的全新 Firewall 體驗。此次更新重塑了防火牆的設定與監控介面,讓開發團隊能更輕鬆地配置自訂安全規則、阻擋惡意流量並監控即時威脅。透過直觀的 UI 與無縫整合,Vercel 旨在降低安全配置的門檻,讓防護變得更主動且易於管理。
Improved analytics experience now available on the Vercel Firewall
Vercel Changelog194d agoReleaseVercel 宣布為其 Web 應用程式防火牆(Vercel Firewall)推出全新改進的分析體驗。新版介面提供了更直觀的數據可視化、更強大的過濾功能,以及更即時的流量監控。這讓開發者與維運團隊能夠更輕鬆地識別惡意攻擊、分析被攔截的請求,並快速調整安全規則。
How Nous Research used BotID to block automated abuse at scale
Vercel Changelog207d agoBusiness知名開源 AI 研究團隊 Nous Research 在託管其模型展示與 API 時,面臨嚴重的自動化機器人(Bot)濫用問題。 透過導入 Vercel 的 BotID 安全防護功能,他們得以在邊緣端(Edge)精準識別並攔截惡意流量。 這項解決方案不僅保護了昂貴的 GPU 運算資源免於被榨乾,也確保了真實用戶能享有流暢且無感(免驗證碼)的 AI 體驗。
Vercel now supports post-quantum cryptography
Vercel Changelog207d agoReleaseVercel 宣布在其邊緣網路(Edge Network)中正式支援後量子密碼學(PQC)。這項更新主要針對 TLS 連線,採用如 X25519Kyber768 等混合演算法,防範「現在收集,以後解密」(Harvest Now, Decrypt Later)的潛在安全威脅。最重要的是,開發者無需進行任何額外設定或修改程式碼,即可讓部署在 Vercel 上的應用程式與網站自動獲得此安全防護,與現代瀏覽器無縫接軌。
CVE-2025-48985: Input Validation Bypass on AI SDK★ 75
Vercel Changelog208d agoIncidentVercel 官方發布安全公告,指出其 AI SDK 存在編號為 CVE-2025-48985 的安全漏洞。該漏洞允許攻擊者繞過輸入驗證機制,可能導致潛在的安全風險。官方已釋出修復版本,強烈建議所有使用 Vercel AI SDK 的開發者立即檢查並升級至最新版本,以確保應用程式安全。
CVE-2025-52662: XSS on Nuxt DevTools
Vercel Changelog208d agoIncidentVercel 發布安全更新公告,指出 Nuxt DevTools 中存在一個編號為 CVE-2025-52662 的跨網站指令碼(XSS)安全漏洞。該漏洞可能允許攻擊者在開發環境下執行惡意腳本。Vercel 提醒所有使用 Nuxt 框架的開發者檢查並更新其 DevTools 版本,以確保開發與部署環境的安全。
Free Vercel BotID Deep Analysis through January 15
Vercel Changelog209d agoReleaseVercel 宣布限時免費提供「BotID 深度分析(BotID Deep Analysis)」功能至 2026 年 1 月 15 日。該功能可協助開發者精準識別、分類與分析網站的機器人流量。所有 Vercel 用戶皆可在此期間免費體驗,藉此評估網站安全狀況並優化防火牆防禦規則。
Route build traffic through Static IPs
Vercel Changelog210d agoReleaseVercel 宣布支援將構建階段(Build phase)的外連流量路由至靜態 IP(Static IPs)。此功能特別適合企業級用戶,能讓構建過程安全地存取受防火牆保護的內部資料庫、CMS 或私有 API。開發者無需再為了構建而向整個網際網路開放敏感資源,大幅提升了 CI/CD 流程的安全性。
BotID Deep Analysis catches a sophisticated bot network in real-time★ 75
Vercel Changelog214d agoReleaseVercel 發表全新的 BotID Deep Analysis(深度分析)技術,專門應對日益複雜、會模擬人類行為與使用住宅代理的惡意機器人網路。該技術在邊緣端(Edge)進行毫秒級的指紋與行為分析,成功在即時環境中攔截了高度偽裝的攻擊,幫助開發者保護 API 並降低 Serverless 運算成本。
Vercel achieves TISAX AL2
Vercel Changelog216d agoBusinessVercel 宣布已正式取得 TISAX(受信資訊安全評估交換)的 Assessment Level 2 (AL2) 認證。TISAX 是歐洲汽車工業(特別是德國車廠)所公認的嚴格資訊安全標準。此項認證證明 Vercel 在資料保護與資訊安全上達到汽車產業的高規格要求,將使全球汽車製造商及其供應鏈夥伴能更安心地在 Vercel 上部署與運行其數位化 Web 應用程式。
Vercel achieves TISAX AL2 compliance to serve automotive partners
Vercel Changelog216d agoBusinessVercel 官方宣布已正式取得 TISAX(可信資訊安全評估交換)AL2 評估等級認證。TISAX 是全球汽車產業公認的資訊安全標準,此認證代表 Vercel 的平台安全與隱私防護達到汽車供應鏈的嚴格要求。這將使 Vercel 能夠順利為汽車製造商及相關供應商提供安全的前端託管與開發服務。
Manage Next.js Server Actions in the Vercel Firewall★ 75
Vercel Changelog221d agoReleaseVercel 宣布其 Web 應用程式防火牆(WAF)現在支援管理 Next.js 的 Server Actions。開發者可以直接在 Vercel Firewall 中針對 Server Actions 的 POST 請求設定安全規則與速率限制(Rate Limiting),有效防止惡意調用、DDoS 攻擊及資源濫用,進一步鞏固全端 Next.js 應用的安全性。
Introducing CodeMender: an AI agent for code security★ 82
Google DeepMind Blog221d agoReleaseGoogle DeepMind 發表全新 AI Agent「CodeMender」,旨在解決軟體安全中的關鍵漏洞修復難題。CodeMender 不僅能自動偵測程式碼中的安全漏洞,還能主動生成修復補丁並進行驗證。這項技術結合了先進的大型語言模型與自動化測試,大幅提升了軟體開發生命週期中的安全性與修復效率。
VaultGemma: The world's most capable differentially private LLM★ 80
Google DeepMind Blog222d agoReleaseGoogle DeepMind 發表了 VaultGemma,這是全球首款從頭開始(from scratch)使用差分隱私(Differential Privacy, DP)技術訓練的高性能大語言模型。透過嚴格的數學隱私保證,VaultGemma 能有效防止訓練數據洩露與敏感資訊記憶,同時在多項基準測試中保持極高的實用性,為醫療、金融等高隱私需求領域帶來全新突破。
Building the Open Agent Ecosystem Together: Introducing OpenEnv★ 80
Hugging Face Blog222d agoReleaseHugging Face 正式推出 OpenEnv 計劃,旨在解決 AI Agent 在執行任務時面臨的環境不一致與安全隱憂。OpenEnv 提供了一個標準化、安全隔離的沙盒環境,讓 Agent 能安全地執行程式碼、操作檔案與進行網頁互動。此舉將促進開源社群在 Agent 評估與部署上的協作,共同打造更安全且一致的開放 Agent 生態系統。
Hugging Face and VirusTotal collaborate to strengthen AI security★ 75
Hugging Face Blog223d agoReleaseHugging Face 與知名安全平台 VirusTotal 展開合作,旨在提升開源 AI 生態系的安全性。雙方將針對託管在 Hugging Face 上的模型進行深度安全掃描,特別是防範利用 PyTorch pickle 格式等漏洞傳播的惡意代碼。此舉將幫助開發者更安全地下載與部署開源模型,降低供應鏈攻擊風險。
Talha Tariq joins Vercel as CTO of Security
Vercel Changelog230d agoBusinessVercel 宣布任命前 HashiCorp 資訊安全長 Talha Tariq 為首任安全技術長(CTO of Security)。隨著 Vercel 逐漸成為企業級前端與 AI 應用的首選平台,此舉顯示其對雲端安全與合規性的高度重視。Tariq 將領導 Vercel 的安全策略,確保全球開發者在構建與部署時擁有最堅實的安全防護。
Expanded Role-Based Access Control (RBAC) for Enterprise teams
Vercel Changelog235d agoReleaseVercel 針對 Enterprise 企業團隊推出了擴展的角色型存取控制(RBAC)功能。此更新允許企業管理員針對個別專案、環境變數、網域設定及生產環境部署進行更細粒度的權限控制。透過更靈活的角色分配與自定義權限,企業能有效落實最小權限原則,確保開發流程的安全與合規。
Static IPs are now available for more secure connectivity
Vercel Changelog243d agoReleaseVercel 正式推出靜態 IP (Static IPs) 功能,解決了 Serverless 環境中 IP 浮動的問題。此功能允許 Vercel 的專案透過固定的 IP 位址進行對外連線,方便企業在防火牆中設定白名單。這對於需要安全連接內部資料庫、後端 API 或第三方受保護服務的開發團隊來說是一大福音。
View & query bot verification data in Vercel Observability
Vercel Changelog245d agoReleaseVercel 宣布在其 Observability(觀測性)平台中新增機器人驗證數據的查看與查詢功能。開發者現在可以輕鬆分析網站流量中的機器人行為,區分良性爬蟲與潛在的惡意流量。這項更新有助於優化安全策略、調整 WAF 規則,並更精準地掌握真實用戶的訪問數據。
BotID uncovers hidden SEO poisoning★ 70
Vercel Changelog253d agoReleaseVercel 發表全新安全功能「BotID」,旨在解決日益嚴重的 SEO 毒化(SEO Poisoning)問題。許多惡意機器人會偽裝成 Googlebot 等合法搜尋引擎爬蟲以規避防護。BotID 透過進階的行為與指紋分析,能精準辨識這些「假爬蟲」,在不影響真實搜尋引擎索引的前提下,保護網站的搜尋排名與安全。