◈ AIセキュリティ・インテリジェンス ← 用語一覧
Attack  ·  用語集

Header exfiltration (AI agent credential theft via redirects)

定義
攻撃者がAIエージェントまたはそれが接続するサーバーを騙して、攻撃者が管理するアドレスへのリダイレクトに従わせ、エージェントが認証トークンやAPIキーなどの機密リクエストヘッダーを、正当なサービスにのみ送信することになっていたにもかかわらず送信させる手法。
なぜ重要か
AIエージェントは、広範な組織へのアクセスを許可する可能性があるトークンを使用してツールおよびデータソースに認証します。MCPサーバー内の単一のリダイレクト脆弱性により、エージェントが保持しているすべての認証情報が静かに収集される可能性があり、攻撃者にはより広いエンタープライズ環境への足がかりが与えられます。
最近の事例で確認
OpenClaw MCP Server Leaks Operator Custom Headers to Attacker-Controlled Redirects (CVE-2026-53840)
参考資料
CSA: 7 MCP Risks CISOs Should Consider
ライブフィードで追跡 この概念が実際のAIセキュリティ・ガバナンスの動向でどう現れるかを確認。
フィードを開く →