定義
OAuthは、AIツールが外部サービス(メール、GitHubなど)にユーザーの代わりにアクセスするための許可を求めることができるようにする標準的なシステムです。OAuthトークンハイジャッキングは、悪質なAIツール統合などの悪意のあるコンポーネントが認証プロセスを騙して、攻撃者にアクセストークンを渡させることで発生します。これにより、攻撃者は接続されているすべてのサービスに対して正規のAIツールと同じ権限を得ます。
なぜ重要か
AIプラットフォームがOAuthを介してますます多くのビジネスサービスに接続するにつれて、単一の盗まれたトークンは、目に見えるログインイベントなしに、メール、コードリポジトリ、ファイルストレージなど、すべてに同時にアクセスする権限を攻撃者に付与する可能性があります。LibreChatのMCP統合では、まさにこの欠陥が見つかりました。