定義
システムがログイン済みユーザーが特定のデータを表示または変更する権利を持っているかどうかを適切にチェックしないソフトウェアの欠陥で、識別子を推測または反復することで他のユーザーのレコードを単純にリクエストできる。AIプラットフォームでは、これにより1ユーザーが別のユーザーのAIエージェント設定、会話履歴、またはツール認証情報を読み取りまたは上書きできるようになる。これはOWASP API Security Top 10で最高ランクの脆弱性である。
なぜ重要か
AIプラットフォームは、カスタムAIエージェント命令、ツールAPIキー、および独自ワークフローなどの機密資産を保存し、BOLAが存在する場合は認証済みユーザーなら誰でもアクセスでき、低権限アカウントをエンタープライズデータへのゲートウェイに変える。