Attack  ·  用語集

Broken Object Level Authorization (BOLA)

システムがログイン済みユーザーが特定のデータを表示または変更する権利を持っているかどうかを適切にチェックしないソフトウェアの欠陥で、識別子を推測または反復することで他のユーザーのレコードを単純にリクエストできる。AIプラットフォームでは、これにより1ユーザーが別のユーザーのAIエージェント設定、会話履歴、またはツール認証情報を読み取りまたは上書きできるようになる。これはOWASP API Security Top 10で最高ランクの脆弱性である。
AIプラットフォームは、カスタムAIエージェント命令、ツールAPIキー、および独自ワークフローなどの機密資産を保存し、BOLAが存在する場合は認証済みユーザーなら誰でもアクセスでき、低権限アカウントをエンタープライズデータへのゲートウェイに変える。
OWASP API Security Top 10 — API1:2023 Broken Object Level Authorization
ライブフィードで追跡 この概念が実際のAIセキュリティ・ガバナンスの動向でどう現れるかを確認。
フィードを開く →