定義
API キー、データベースパスワード、およびクラウドサービス認証情報は、AI プラットフォームが外部データソースに接続するために保存するはずですが、暗号化されていて通常ユーザーはアクセスできないようにする必要があります。認証情報のプレーンテキスト露出は、管理者だけでなく、認証されたすべてのユーザーがこれらのシークレットを読み取り可能なテキストとして取得できるという欠陥が発生した場合に起こり、攻撃者に AI プラットフォームが接続するすべてのシステムへのキーを手渡すことになります。
なぜ重要か
ToolJet のような AI ワークフロープラットフォームは、数十のビジネスシステムを接続するハブとして機能しており、保存されているすべての認証情報を一度に露出させることは、実質的に攻撃者に組織全体のデータ資産へのマスターキーを手渡すことになります。この欠陥は広く展開されている AI エージェントプラットフォームで確認されました。