정의
OAuth는 AI 도구가 사용자를 대신하여 외부 서비스(이메일, GitHub 등)에 액세스할 수 있는 권한을 요청할 수 있게 해주는 표준 시스템입니다. OAuth 토큰 탈취는 악의적인 구성 요소(예: 불량 AI 도구 통합)가 인증 프로세스를 속여 공격자에게 액세스 토큰을 넘기도록 하는 상황으로, 공격자는 연결된 모든 서비스에 대해 합법적인 AI 도구와 동일한 권한을 얻게 됩니다.
왜 중요한가
AI 플랫폼이 OAuth를 통해 더 많은 비즈니스 서비스에 연결됨에 따라, 단 하나의 탈취된 토큰만으로도 공격자가 모든 서비스(이메일, 코드 저장소, 파일 스토리지)에 동시에 액세스할 수 있으며 — 눈에 띄는 로그인 이벤트 없이도 가능합니다. LibreChat의 MCP 통합에서 정확히 이러한 결함이 발견되었습니다.