정의
API 키, 데이터베이스 암호, 그리고 AI 플랫폼이 외부 데이터 소스에 연결하기 위해 저장하는 클라우드 서비스 자격증명은 암호화되어야 하며 일반 사용자가 접근할 수 없어야 한다. 자격증명 평문 노출은 관리자뿐만 아니라 인증된 모든 사용자가 이러한 비밀을 읽을 수 있는 텍스트로 검색할 수 있는 결함이 발생할 때 발생하며, 이는 공격자에게 AI 플랫폼이 연결하는 모든 시스템의 열쇠를 건네주는 것과 같다.
왜 중요한가
ToolJet과 같은 AI 워크플로우 플랫폼은 수십 개의 비즈니스 시스템을 연결하는 허브 역할을 하며, 저장된 모든 자격증명을 한 번에 노출하는 것은 실질적으로 공격자에게 조직의 전체 데이터 자산에 대한 마스터 키를 건네주는 것과 같다. 이 결함은 광범위하게 배포된 AI 에이전트 플랫폼에서 확인되었다.