Addressing security and quality issues with MCP tools in AI Agent★ 80
Vercel Changelog258d agoNew ToolVercel 推出 `@vercel/mcp-to-ai-sdk`,旨在解決 AI Agent 使用 MCP(Model Context Protocol)工具時的安全與品質隱憂。該工具允許開發者將動態的 MCP 伺服器轉換為靜態的 AI SDK 工具定義,從而在編譯期進行程式碼審查與類型檢查。這不僅提升了 AI 應用的安全性,也確保了工具調用的穩定性與品質。
Shai-Halud Supply Chain Campaign — Expanded Impact & Vercel Response★ 75
Vercel Changelog259d agoIncidentVercel 針對近期擴大影響的「Shai-Halud」軟體供應鏈安全威脅發表官方應對聲明。該攻擊主要透過惡意套件滲透開發流程。Vercel 已加強其建置(Build)系統的防禦機制,主動偵測並封鎖可疑依賴項目,並呼籲開發者檢查專案的依賴關係與 Lockfile,以確保部署安全。
HIPAA BAAs are now available to Pro teams★ 70
Vercel Changelog266d agoReleaseVercel 宣布將 HIPAA 商業夥伴協定(BAA)的簽署權限開放給 Pro 團隊。過去此合規授權僅限 Enterprise 企業級客戶,此舉大幅降低了醫療、生技與數位健康領域新創在 Vercel 部署合規應用的門檻與成本,讓中小團隊能以更低預算建構安全的醫療科技產品。
Critical npm supply chain attack response - September 8, 2025★ 85
Vercel Changelog267d agoIncidentVercel 於 2025 年 9 月 8 日發布緊急公告,針對一起重大的 npm 供應鏈攻擊事件做出回應。該事件影響了多個前端專案常用的 npm 套件,Vercel 已在平台端採取防護措施,並強烈建議開發者立即審查專案的 package-lock.json、更新受影響的依賴項,並啟用安全監控工具以確保部署安全。
CVE-2025-55173★ 70
Vercel Changelog277d agoIncidentVercel 於 2025 年 8 月 29 日發布安全通報 CVE-2025-55173。雖然詳細漏洞細節尚未完全公開,但此類通報通常涉及 Next.js 框架或 Vercel 部署平台的安全修補。強烈建議使用 Vercel 託管服務與 Next.js 的開發團隊密切關注官方更新,並將專案依賴升級至最新版本以防範潛在風險。
CVE-2025-57822
Vercel Changelog277d agoIncidentVercel 於 Changelog 發布了 CVE-2025-57822 安全漏洞公告。雖然目前詳細的漏洞細節與受影響範圍尚未完整公開,但此類公告通常涉及 Vercel 平台或 Next.js 等核心框架的安全修補。建議使用 Vercel 部署服務的開發團隊保持警惕,並準備進行版本升級。
CVE-2025-57752★ 70
Vercel Changelog277d agoIncidentVercel 於 Changelog 發布了關於 CVE-2025-57752 的安全漏洞公告。雖然目前詳細的漏洞細節與受影響範圍尚未完全公開,但此類 CVE 通常涉及 Next.js 框架或 Vercel 部署平台的安全機制。建議使用 Vercel 服務與 Next.js 的開發者,應儘速檢查專案依賴並將 Vercel 相關工具鏈更新至最新版本,以防範潛在的安全風險。
s1ngularity: supply chain attack in Nx packages★ 75
Vercel Changelog279d agoIncidentVercel 於變更日誌中發布安全公告,指出熱門的 JavaScript/TypeScript Monorepo 建置工具 Nx 遭遇了名為「s1ngularity」的軟體供應鏈攻擊。這類攻擊通常涉及惡意套件植入,可能威脅到開發者的本地環境與 CI/CD 建置安全。Vercel 建議所有使用 Nx 的開發團隊立即進行依賴項審計,排查並更新相關套件以防範風險。
Anomaly alerts now in limited beta for Enterprise customers
Vercel Changelog279d agoReleaseVercel 宣布針對 Enterprise 企業客戶推出「異常警報 (Anomaly Alerts)」限量測試功能。該功能旨在幫助企業用戶即時偵測並防範非預期的流量激增、伺服器錯誤或帳單異常,避免因突發狀況導致服務中斷或高額費用。目前此功能僅開放給特定企業客戶搶先體驗。
SAML SSO is now available to Pro teams
Vercel Changelog280d agoReleaseVercel 正式宣布將原先僅限於 Enterprise 企業方案的 SAML SSO(單一登入)功能,全面開放給 Pro 團隊使用。這項更新讓中小型團隊與新創公司能夠以更低的門檻,整合 Okta、Microsoft Entra ID 等身份驗證服務。此舉大幅提升了 Pro 方案的安全管理便利性,免去了以往為了安全合規而必須負擔高昂企業版授權費用的痛點。
Improved fake hardware detection with Vercel BotID
Vercel Changelog291d agoReleaseVercel 宣布對其安全防護工具 BotID 進行更新,升級了其「深度分析模型」。本次更新重點在於強化「偽造硬體(Fake Hardware)」的偵測能力,防範惡意機器人透過偽造硬體指紋(如 GPU 或 CPU 資訊)來規避安全檢查。這將有助於開發者更有效地阻擋進階的自動化攻擊,提升應用的安全防禦力。
The three types of AI bot traffic and how to handle them★ 75
Vercel Changelog293d agoTutorialVercel 官方部落格分析了當前網站面臨的三種主要 AI 機器人(Bot)流量:用於模型訓練的「訓練爬蟲」、用於即時生成回答的「搜尋引擎」,以及代表用戶執行任務的「AI 代理人」。這三者對網站的價值與頻寬消耗各不相同。文章指導開發者如何利用 robots.txt、Vercel 防火牆(Firewall)與 Edge Middleware,針對不同類型的 AI 流量進行精準的允許、限制或阻擋,以在保護智慧財產權與獲取搜尋流量之間取得平衡。
Vercel BotID now leverages Vercel's verified bot directory
Vercel Changelog294d agoReleaseVercel 宣布其 BotID 機器人識別功能已整合「已驗證機器人目錄」(Verified Bot Directory)。此更新讓開發者能更精確辨識造訪網站的流量,區分合法的搜尋引擎、AI 爬蟲(如 GPTBot)與惡意抓取工具。透過此整合,用戶可在 Vercel 防火牆中輕鬆制定規則,允許友善機器人並阻擋未授權的抓取,保護網站資源。
Vercel's bot verification now supports Web Bot Auth
Vercel Changelog294d agoReleaseVercel 宣布其機器人驗證(Bot Verification)功能現已支援 Web Bot Auth。此更新允許開發者為合法的自動化程式、測試腳本(如 Playwright)或監控工具配置驗證機制,使其能順利通過 Vercel 的安全防護。這解決了自動化測試常被 WAF 誤判攔截的痛點,提升了開發與部署流程的順暢度。
v0: vibe coding, securely★ 75
Vercel Changelog302d agoReleaseVercel 針對旗下 AI 網頁生成工具 v0 推出安全更新。隨著「氛圍編程(Vibe Coding)」流行,開發者常直接運行 AI 生成的代碼,這帶來了潛在的安全風險。本次更新重點在於提供安全的沙盒執行環境、防範惡意套件注入、以及更安全地管理 API 金鑰與環境變數,讓用戶在快速迭代的同時,無需擔心安全漏洞。
Vercel BotID now available for all frameworks
Vercel Changelog315d agoReleaseVercel 宣布將其強大的機器人識別功能「BotID」推廣至所有前端框架(如 Nuxt、SvelteKit、Astro 等)。BotID 允許開發者在邊緣端(Edge)精準識別來訪的流量是否為機器人(包括 AI 爬蟲、搜尋引擎等),並能針對不同類型的 Bot 進行自訂處理。這項更新讓非 Next.js 的開發者也能輕鬆提升網站安全與流量管理效率。
OAuth support added to MCP Adapter★ 75
Vercel Changelog322d agoReleaseVercel 宣布其 MCP (Model Context Protocol) Adapter 正式支援 OAuth 驗證機制。此更新允許開發者構建的 MCP 伺服器能安全地進行使用者授權,讓 AI 代理可代表特定用戶存取第三方服務。這大幅簡化了 AI 應用程式在處理敏感數據與個人化 API 呼叫時的安全流程。
More Secure Deployment Protection
Vercel Changelog323d agoReleaseVercel 宣布更新其「部署保護 (Deployment Protection)」功能,旨在提供更安全的預覽與生產環境存取控制。此更新強化了防止未授權存取的能力,特別是針對開發中的預覽版本(Preview Deployments)。開發團隊現在可以更安全地管理密碼保護、SSO 登入以及自動化測試(如 CI/CD)的繞過金鑰,確保敏感資料與未公開功能不外洩。
Web Application Firewall control now available with vercel.json
Vercel Changelog328d agoReleaseVercel 宣布支援透過專案中的 vercel.json 設定檔來控制 Web 應用程式防火牆 (WAF)。這項更新讓開發者能夠將安全防護規則納入版本控制,實現基礎設施即程式碼(IaC)。開發者可以直接在程式碼中定義 WAF 規則,簡化了安全設定的部署與管理流程。
CVE-2025-49826
Vercel Changelog334d agoIncidentVercel 於 2025 年 7 月發布了編號為 CVE-2025-49826 的安全漏洞通報。雖然目前官方頁面尚未揭露詳細的漏洞技術細節,但此類通報通常涉及 Next.js 或 Vercel 相關生態系套件的安全修補。建議使用 Vercel 部署服務的開發者密切關注官方後續更新並及時升級相關套件。
CVE-2025-49005
Vercel Changelog334d agoIncidentVercel 於 Changelog 中釋出了關於安全漏洞 CVE-2025-49005 的公告。雖然目前詳細的漏洞細節與受影響範圍尚未完全公開,但此類 CVE 通常涉及 Next.js 框架或 Vercel 部署平台的安全性。建議開發者定期檢查專案依賴,並準備在官方釋出修補版本時立即進行升級。
Vercel BotID is now generally available★ 75
Vercel Changelog342d agoReleaseVercel 宣布其機器人識別服務「Vercel BotID」正式進入全面開放(GA)階段。此功能運作於 Vercel 邊緣網路,能自動分析並分類傳入的請求,精準識別出 AI 訓練爬蟲、搜尋引擎、社交媒體抓取工具及惡意機器人。開發者可藉此在邊緣端直接阻擋未授權的 AI 爬蟲以保護原創內容,並有效降低無伺服器運算成本。
Introducing BotID, invisible bot filtering for critical routes★ 75
Vercel Changelog342d agoReleaseVercel 發表全新安全防護功能「BotID」,專為 API、登入及結帳等關鍵路由設計。該功能採用「無感(invisible)」過濾技術,無需傳統 CAPTCHA 驗證碼即可在背景識別並阻擋惡意機器人,有效防範爬蟲與濫用,同時維持流暢的用戶體驗。
Run untrusted code with Vercel Sandbox★ 85
Vercel Changelog342d agoReleaseVercel 宣布推出 Vercel Sandbox,這是一項專為安全執行不可信程式碼而設計的新功能。它提供輕量且高度隔離的沙箱環境,非常適合用於 AI Code Interpreter(程式碼口譯器)、線上程式碼編輯器或執行使用者自訂腳本。此功能與 Vercel 生態系深度整合,能有效防範惡意程式碼對系統造成的安全威脅。
Two-factor authentication (2FA) team enforcement
Vercel Changelog348d agoReleaseVercel 宣布推出「團隊強制雙重驗證 (2FA)」功能。團隊管理員現在可以強制要求所有團隊成員啟用 2FA 才能存取團隊資源。此舉旨在提升團隊協作時的帳號安全性,防止因個人帳號遭破解而導致整個團隊的專案與代碼外洩,是企業與開發團隊的重要安全升級。
Building secure AI agents★ 80
Vercel Changelog358d agoTutorial隨著 AI Agent 從單純對話走向自主執行任務,安全挑戰日益嚴峻。Vercel 釋出指南,探討如何透過安全沙盒(如 E2B)隔離程式碼執行、利用 IAM 限制 Agent 權限、防範提示詞注入,以及在關鍵步驟引入「人工確認(Human-in-the-Loop)」機制,幫助開發者在 Vercel 平台上構建兼具功能與安全性的 AI 應用。
Bot Protection is now generally available★ 75
Vercel Changelog362d agoReleaseVercel 宣布其「Bot Protection(機器人防護)」功能已正式進入一般可用(GA)階段。此功能可在邊緣網路(Edge)自動偵測並攔截惡意爬蟲、DDoS 攻擊及自動化腳本,防止其消耗 Serverless 運算資源。開發者無需繁瑣設定即可啟用,有效保護 API 與網頁免受惡意流量干擾,並降低不必要的帳單開銷。
New firewall challenge metrics now available
Vercel Changelog364d agoReleaseVercel 宣布推出全新的防火牆挑戰指標(Firewall Challenge Metrics)。此功能讓開發者能夠在儀表板中直接查看安全挑戰(如 JavaScript 挑戰或驗證碼)的觸發與通過狀況。透過這些數據,團隊可以更精準地評估惡意流量防護效果,並優化正常用戶的訪問體驗。
CVE-2025-48068★ 70
Vercel Changelog370d agoIncidentVercel 於 Changelog 發布了編號為 CVE-2025-48068 的安全漏洞公告。雖然目前官方尚未釋出詳細的漏洞細節與受影響範圍,但建議使用 Vercel 平台及 Next.js 等相關技術棧的開發者保持警惕。請密切注意官方後續的更新說明,並隨時準備升級專案中的 Vercel 相關依賴以確保系統安全。
Rate limiting now available on Hobby, with higher included usage on Pro★ 75
Vercel Changelog375d agoReleaseVercel 官方宣布其內建的「速率限制(Rate Limiting)」安全防護功能正式支援免費的 Hobby 方案,讓個人創作者也能輕鬆防止 API 遭惡意刷流量。此外,針對付費的 Pro 方案,Vercel 也提高了每月內含的免費請求額度,降低開發者的營運成本並提升應對突發流量的安全防禦能力。