定義
APIキーは、有料のAIサービス(OpenAIやAnthropicなど)へのアクセスを許可するシークレットパスワードです。公開可能な場所(ウェブサイトデータベース、プラグイン設定ファイル、またはコードリポジトリなど)に誤ってキーが保存され、攻撃者がそれを見つけて盗むことができるときに、露出が発生します。
なぜ重要か
盗まれたAI APIキーにより、攻撃者は被害者の費用で無制限のクエリを実行でき、AIサービスに送信された機密データにアクセスでき、エンドユーザーに表示されるAI出力を潜在的に操作できます。この期間に開示されたAIプラグインの複数の脆弱性により、APIキーが低権限の攻撃者に露出されました。