정의
IDOR 결함은 AI 플랫폼이 사용자에게 식별자(URL이나 API 호출의 숫자 같은)를 변경하여 다른 사용자의 데이터에 접근하도록 허용할 때 발생합니다 — 요청하는 사용자가 실제로 해당 리소스를 볼 권한이 있는지 확인하지 않고 있습니다. AI 플랫폼에서 이는 다른 사용자의 대화 기록, AI 에이전트 출력, 업로드된 문서 및 도구 호출 로그를 노출할 수 있습니다.
왜 중요한가
IDOR는 AI 플랫폼에서 가장 일반적이면서도 예방 가능한 결함 중 하나이며 — 사용자가 AI 도구에 신뢰하며 공유하는 매우 민감한 데이터(의료 쿼리, 재무 데이터, 전략 계획)를 노출할 수 있습니다. Twenty CRM, Open WebUI 및 Langflow를 포함한 여러 AI 플랫폼에서 동시에 IDOR 취약점이 발견되었습니다.