Definisi
Kerentanan IDOR terjadi ketika platform AI memungkinkan pengguna mengakses data pengguna lain hanya dengan mengubah pengidentifikasi (seperti angka dalam URL atau panggilan API) — tanpa memeriksa apakah pengguna yang meminta benar-benar diizinkan melihat sumber daya tersebut. Di platform AI, ini dapat mengekspos riwayat percakapan pengguna lain, keluaran agen AI, dokumen yang diunggah, dan log panggilan alat.
Mengapa penting
IDOR adalah di antara kerentanan yang paling umum namun dapat dicegah di platform AI — dan mereka dapat mengekspos data yang sangat sensitif yang dibagikan pengguna dengan alat AI dengan percaya diri (pertanyaan medis, data keuangan, perencanaan strategis). Beberapa platform AI termasuk Twenty CRM, Open WebUI, dan Langflow ditemukan memiliki kerentanan IDOR secara bersamaan.