定義
攻撃者が可変的な身元データ(表示名、送信者メタデータ、連絡先情報)を操作して、AIエージェントを呼び出すことができるユーザーまたはサービスを制御する認可ポリシーをバイパスする攻撃。例えば、Discord の表示名を管理者名と一致するように変更して「allowFrom」ポリシーをバイパスする場合などが挙げられます。
なぜ重要か
AI エージェント認可ポリシーは、認証なしで変更できるユーザー身元メタデータに依存することが多くあります。ポリシーバイパスを発見したユーザーは、権限を昇格させたり、認可されていないエージェントアクションをトリガーしたり、監査トレースを残さずに悪意のあるプロンプトを挿入したりできます。