定義
APIキーは、有料のAIサービス(OpenAIやAnthropicなど)へのアクセスを与える秘密のパスワードです。公開アクセス可能な場所(Webサイトデータベース、プラグイン設定ファイル、またはコードリポジトリ)に誤って保存されると、攻撃者がそれを見つけて盗むことができます。
なぜ重要か
盗まれたAI APIキーにより、攻撃者は被害者の負担で無制限のクエリを実行でき、AIサービスに送信される機密データにアクセスでき、エンドユーザーが見るAI出力を操作する可能性があります。この期間に開示されたAIプラグインの複数の脆弱性により、APIキーが低権限の攻撃者に露出しました。