定义
OAuth 是一个标准系统,它允许 AI 工具请求权限以代表用户访问外部服务(电子邮件、GitHub 等)。OAuth 令牌劫持发生在恶意组件(例如流氓 AI 工具集成)欺骗身份验证过程将访问令牌交给攻击者时,使他们获得与合法 AI 工具相同的权限以访问所有连接的服务。
影响分析
随着 AI 平台通过 OAuth 连接到更多业务服务,一个被盗令牌可以同时授予攻击者访问所有这些服务的权限 — 电子邮件、代码存储库、文件存储 — 而不会有任何可见的登录事件。LibreChat 的 MCP 集成被发现存在完全相同的缺陷。