Vercel security roundup: improved bot defenses, DoS mitigations, and insights
Vercel Changelog375d agoReleaseVercel 發布最新安全性更新,重點提升平台防禦能力。本次更新強化了惡意 Bot 的偵測與攔截,升級了阻斷服務(DoS)攻擊的緩解機制以確保網站穩定,並推出全新的安全洞察(Insights)工具,幫助開發者與企業更清晰地監控、分析潛在的安全威脅與流量異常。
New one-click AI bot managed ruleset★ 75
Vercel Changelog385d agoReleaseVercel 發表全新的「一鍵式 AI 機器人託管規則集」。此功能讓部署在 Vercel 上的網站擁有者,能透過簡單的一鍵設定,有效管理或阻擋來自各大 AI 廠商(如 OpenAI、Anthropic 等)的 AI 爬蟲與機器人,保護網站內容不被未授權抓取,並節省伺服器頻寬與資源。
Bot activity and crawler insights now in Observability
Vercel Changelog391d agoReleaseVercel 宣布在其 Observability(可觀測性)工具中新增「機器人活動與爬蟲洞察」功能。開發者現在可以直接在控制面板中追蹤搜尋引擎爬蟲、AI 訓練機器人及惡意掃描器的訪問行為。這項更新有助於優化 SEO 策略、防範惡意流量,並更精準地管理網站頻寬與資源消耗。
Information disclosure in Flags SDK (CVE-2025-46332)★ 75
Vercel Changelog396d agoIncidentVercel 針對其 Flags SDK 發布了編號為 CVE-2025-46332 的安全通告,指出該 SDK 存在資訊洩露(Information Disclosure)漏洞。此漏洞可能導致未授權的使用者獲取功能旗標(Feature Flags)的配置或敏感上下文資訊。官方已釋出修復版本,強烈建議所有使用 @vercel/flags 的 Next.js 與 Vercel 開發者立即檢查並升級至最新版本以確保系統安全。
Create custom WAF rules directly from the Vercel Firewall tab
Vercel Changelog397d agoReleaseVercel 宣布推出安全更新,允許用戶直接在控制台的「Firewall」頁籤中建立自訂的 Web 應用程式防火牆(WAF)規則。這項更新簡化了安全防護流程,開發者無需再透過複雜的設定檔,即可快速針對特定 IP、地理位置、User-Agent 或請求特徵進行阻擋或過濾,大幅提升專案的安全性與管理效率。
Protection against React Router and Remix vulnerabilities★ 72
Vercel Changelog402d agoIncidentVercel 針對近期揭露的 React Router 與 Remix 安全漏洞(CVE-2025-43864)推出了平台級的防禦措施。此漏洞可能影響使用這些框架的 Web 應用程式,Vercel 已在其基礎設施端進行攔截與防護。雖然 Vercel 的自動防護已為託管專案提供即時的安全緩衝,但官方仍建議開發者盡速更新至安全版本。
Bot Protection is now in public beta
Vercel Changelog405d agoReleaseVercel 推出 Bot Protection 公測版,旨在保護部署於 Vercel 的網站免受惡意機器人、自動化攻擊及無節制 AI 爬蟲的侵害。此功能在 Edge 端進行即時流量分析,無須複雜設定即可啟用,能有效降低伺服器負載並防止敏感資料被竊取。對於使用 Vercel 部署應用的開發者與企業來說,這是一項提升安全性的重要更新。
Bot Protection: One-click managed ruleset now in public beta
Vercel Changelog405d agoReleaseVercel 宣布其「Bot Protection(Bot 防護)」的一鍵式託管規則集已進入公開測試階段。開發者只需在控制台中一鍵啟用,即可利用 Vercel 託管的規則自動識別並攔截惡意 Bot、網路爬蟲及自動化攻擊。此功能旨在簡化安全設定,降低網站被惡意刷流量或爬取資料的風險,同時確保合法搜尋引擎爬蟲的正常存取,並能有效節約 Serverless 運算成本。
CVE-2025-32421★ 75
Vercel Changelog406d agoIncidentVercel 於 Changelog 發布了編號為 CVE-2025-32421 的安全漏洞公告。雖然目前詳細技術細節尚未完全公開,但此類安全通告通常涉及 Next.js 框架或 Vercel 部署環境的修補。建議使用 Vercel 託管服務與相關開源套件的開發團隊,密切關注官方釋出的更新版本並儘速升級。
Protection against React Router vulnerability CVE-2025-31137★ 72
Vercel Changelog411d agoReleaseVercel 針對近期揭露的 React Router 安全漏洞(CVE-2025-31137)部署了平台級的自動防護措施。此漏洞影響使用 React Router 的 Web 應用,Vercel 透過其邊緣網路主動攔截潛在的惡意攻擊。這讓開發者在尚未手動更新專案套件前,能獲得即時的安全緩解,但官方仍建議開發者應儘速升級 React Router 版本。
Protectd: Evolving Vercel’s always-on denial-of-service mitigations★ 75
Vercel Changelog421d agoReleaseVercel 推出名為「Protectd」的全新常駐型阻斷服務(DoS)防禦系統。該系統部署於 Vercel 的全球邊緣網路,能自動且即時地識別並過濾惡意流量(如 L7 應用層攻擊),無需用戶手動干預。此升級旨在保護開發者的 Serverless 應用免受惡意攻擊,同時避免因攻擊流量導致的異常帳單費用,並確保合法用戶的連線延遲不受影響。
Two-Factor Authentication (2FA) is now available
Vercel Changelog425d agoReleaseVercel 官方 Changelog 宣布正式推出雙重驗證 (2FA) 功能。開發者與團隊管理員現在可以在帳戶設定中啟用此功能,透過驗證器應用程式進行二次確認。這項安全更新將有效防止未授權的帳戶存取,保護敏感的部署專案、環境變數與網域設定,為開發流程提供更強大的安全保障。
Vercel Secure Compute now supports multiple environments
Vercel Changelog425d agoReleaseVercel 宣布其安全運算服務 Secure Compute 正式支援多個環境(如 Production、Preview 和 Development)。這項更新允許開發團隊在不同的部署階段,都能透過專屬的固定 IP 安全地連接到私有資料庫或內部 VPC,大幅提升了開發流程的安全防護與配置彈性。
CVE-2025-30218★ 75
Vercel Changelog426d agoIncidentVercel 於 Changelog 中發布了編號為 CVE-2025-30218 的安全漏洞公告。雖然目前具體漏洞細節與影響範圍尚未完全公開,但此類公告通常涉及 Vercel 平台、Next.js 或其相關 CLI 工具的安全修復。建議使用 Vercel 服務與 Next.js 的開發者密切關注官方更新,並將專案依賴升級至最新版本以確保系統安全。
Attack Challenge Mode now allows verified bots and Vercel cron jobs
Vercel Changelog427d agoReleaseVercel 宣布其安全防護功能「Attack Challenge Mode(攻擊挑戰模式)」進行升級。過去開啟此模式防禦惡意流量時,可能會誤傷正常的自動化流量。現在,該模式已支援自動放行「已驗證的機器人」(如搜尋引擎爬蟲)以及「Vercel Cron Jobs」,確保網站在抵禦攻擊的同時,SEO 排名與後台定時任務不受影響。
How Hugging Face Scaled Secrets Management for AI Infrastructure★ 70
Hugging Face Blog428d agoCommentary本文深入探討 Hugging Face 如何解決大規模 AI 基礎設施中的金鑰(Secrets)管理挑戰。隨著 Spaces 與模型託管規模爆炸性成長,傳統存取面臨效能瓶頸。Hugging Face 透過架構升級、引入快取機制、信封加密以及與 Kubernetes 深度整合,實現了高併發、低延遲且符合高安全標準的金鑰分發系統。
Postmortem on Next.js Middleware bypass★ 85
Vercel Changelog434d agoIncidentVercel 針對近期發現的 Next.js Middleware 繞過漏洞發布詳細事後分析(Postmortem)。該漏洞可能允許特定異常請求繞過中間件的安全檢查(如身分驗證與權限控管)。Vercel 已於平台端部署主動防護,並強烈呼籲所有 Next.js 開發者(特別是自託管用戶)儘速升級至最新安全版本。
Protection against Next.js CVE-2025-29927★ 75
Vercel Changelog437d agoReleaseVercel 宣布其 Vercel Firewall 已針對 Next.js 的安全漏洞 CVE-2025-29927 部署了主動防禦措施。該防護透過 Middleware 機制實現,能自動保護託管於 Vercel 平台上的 Next.js 應用程式。這項更新讓開發者在尚未手動升級 Next.js 版本前,即可獲得即時的安全防護,降低被漏洞攻擊的風險。
Vercel Firewall protects against the SAMLStorm vulnerability
Vercel Changelog441d agoReleaseVercel 於 Changelog 宣布,其 Vercel Firewall 已內建針對「SAMLStorm」漏洞的防禦機制。此更新能自動在邊緣端(Edge)識別並攔截惡意的 SAML 請求,避免攻擊者利用該漏洞影響託管在 Vercel 上的應用程式。這為使用 SAML 單一登入(SSO)的企業與開發者提供了即時的虛擬補丁防護。
Vercel Firewall rule builder now supports `OR` for rule condition groups
Vercel Changelog454d agoReleaseVercel 宣布其防火牆規則建構器現在支援在規則條件群組中使用 `OR` 邏輯運算子。以往開發者在設定複雜的安全防護規則時,可能需要建立多條獨立規則或受限於單一的 `AND` 邏輯。此更新簡化了安全規則的管理,允許在單一規則內混合使用 `AND` 與 `OR` 條件,大幅提升配置彈性。
Hugging Face and JFrog partner to make AI Security more transparent★ 70
Hugging Face Blog455d agoBusinessHugging Face 與軟體供應鏈安全領導廠商 JFrog 展開戰略合作。雙方將整合 Hugging Face 的開源模型生態系與 JFrog 的安全平台,讓企業在引進 AI 模型時能進行自動化漏洞掃描與惡意代碼檢測。此舉旨在解決 AI 供應鏈中的安全隱憂,讓 AI 開發流程更加透明且符合企業合規要求。
Improvements to Vercel Firewall system bypass rules
Vercel Changelog459d agoReleaseVercel 針對其防火牆的「系統繞過規則(System Bypass Rules)」進行了重要改進。這項更新讓開發者在啟用部署防護(如密碼保護或 SSO)時,能更精細地控制哪些外部整合服務(如 Headless CMS、自動化測試工具或 Vercel 內部服務)可以安全地繞過限制。這有效解決了安全防護與自動化工作流之間的衝突,顯著提升了開發體驗。
IP address details added in the Vercel Firewall dashboard
Vercel Changelog460d agoReleaseVercel 宣布在其 Firewall 儀表板中新增「IP 地址詳細資訊」功能。開發者現在可以直接在儀表板中查看特定 IP 的地理位置、網際網路服務供應商 (ISP) 以及自治系統編號 (ASN) 等關鍵數據。這項更新讓團隊在面對惡意流量或 DDoS 攻擊時,能更快速地進行威脅分析並制定精準的防禦規則。
Vercel security roundup: Faster defenses and better visibility for your apps
Vercel Changelog466d agoReleaseVercel 發布最新安全性更新彙整,重點在於提升防禦速度與流量可視性。本次更新強化了 Web 應用程式防火牆(WAF)的規則生效速度,並升級了安全儀表板,讓開發者能更直觀地監控與分析潛在威脅。此外,更靈活的速率限制(Rate Limiting)與挑戰模式(Challenge Mode)能幫助團隊更輕鬆地應對 DDoS 攻擊與惡意爬蟲。
Improved traffic visibility on Firewall overview page
Vercel Changelog467d agoReleaseVercel 宣布改進其防火牆(Firewall)總覽頁面的流量可視性。開發者現在可以更清晰地監控與分析進出網站的流量狀況,包括被阻擋或挑戰的惡意請求。這項更新有助於開發團隊更快速地識別潛在的安全威脅,並優化防護規則設定。
Enhanced firewall data now available in Monitoring
Vercel Changelog480d agoReleaseVercel 宣布在其 Monitoring(監控)功能中整合更強大的防火牆數據。開發者現在可以直接在儀表板中,即時查看被 Vercel 防火牆(WAF)攔截、挑戰(如驗證碼)或限制速率的請求細節。這項更新大幅提升了安全事件的透明度,幫助團隊快速診斷惡意流量、調整安全規則並優化應用程式防護。
Clients blocked by persistent actions now receive a 403 Forbidden response
Vercel Changelog490d agoReleaseVercel 發布平台更新,針對被「持續性安全規則(Persistent Actions)」阻擋的用戶端請求,回應機制進行了優化。過去這類被阻擋的請求可能沒有統一或明確的狀態碼,現在 Vercel 將統一回傳標準的 403 Forbidden 錯誤。這項改變有助於開發者更精確地進行前端錯誤處理與安全性偵測。
Mitigating Denial of Wallet risks with Vercel★ 75
Vercel Changelog494d agoRelease隨著無伺服器(Serverless)架構普及,惡意攻擊者常利用自動擴展特性進行「錢包拒絕服務(DoW)」攻擊,導致開發者面臨天價帳單。Vercel 官方對此提出完整的防範方案,包括設定「消費上限(Spend Limits)」以在超支時自動暫停服務、啟用「網頁應用程式防火牆(WAF)」與「攻擊挑戰模式」阻擋惡意機器人,以及配置「速率限制(Rate Limiting)」防止 API 被濫用。這些工具能讓開發者在享受無伺服器便利性的同時,免於財務損失。
Preview your site's Firewall status and Web Analytics from the Project Overview
Vercel Changelog494d agoReleaseVercel 進行了控制台介面更新,現在開發者無需切換分頁,即可直接在「專案總覽(Project Overview)」中預覽網站的防火牆(Firewall)防護狀態以及 Web Analytics 流量分析。這項更新提升了監控效率,讓開發者能一目了然地掌握網站的安全防禦與即時流量表現。
Audit logs with SIEM integration now generally available
Vercel Changelog502d agoReleaseVercel 宣布其「稽核日誌(Audit Logs)與 SIEM 整合」功能正式開放(GA)。此功能專為企業級用戶設計,允許團隊將 Vercel 平台上的所有操作與安全日誌,即時串流至 Splunk、Datadog、AWS S3 等主流安全資訊與事件管理(SIEM)系統。這有助於企業加強安全監控、簡化合規性審查,並能更快速地偵測與回應潛在的安全威脅。