2026年2月，一個名為EvilTokens的釣魚即服務（PhaaS）平台上線。短短五週內，它就入侵了五個國家超過340個微軟365組織。該平台的目標用戶收到一則訊息，要求他們在 microsoft.com/devicelogin 輸入一個短代碼並完成常規的多因素身份驗證 (MFA) 驗證，然後他們便以為已經驗證了例行登入。實際上，他們只是向平台操作員提供了一個有效的刷新令牌，該令牌的作用範圍限定於他們的郵箱、雲端硬碟、日曆和聯絡人，其有效期與租用戶策略相同，而非會話。

該操作員無需密碼，從未觸發多因素身份驗證提示，也從未產生任何疑似入侵的登入事件。這次攻擊之所以成功，是因為 OAuth 授權同意頁面已成為一種本能的點擊操作，而旨在阻止憑證釣魚的控制措施並未檢查授權層。

安全研究人員將這種情況稱為「同意釣魚」或「OAuth授權濫用」。十年前，真正重要的釣魚點擊會洩漏密碼。而現在，真正重要的釣魚點擊會洩漏刷新令牌，並且其結構低於大多數組織仍然視為邊界的身份控制措施。

為什麼 MFA 無法看到 OAuth 授權

憑證釣魚會洩露使用者名稱和密碼，這些資訊需要在某個地方重播，而現在大多數身份驗證協定堆疊都要求在重播時進行雙重驗證。即使是中間人攻擊 (AiTM) 工具包也會產生一個與登入事件關聯的會話 cookie，安全資訊和事件管理 (SIEM) 系統會將該 cookie 與地理位置、裝置和旅行模式關聯。
OAuth 授權不會產生重播憑證，使用者在合法的身份提供者進行身份驗證，在合法網域上完成 MFA 驗證，然後點擊「接受」。攻擊者獲得的令牌是系統如預期運作的成果，它由身分提供者簽名，作用域限定在使用者同意的範圍內，並且可以刷新。由於 MFA 驗證已經完成，因此無法阻止此類攻擊。

另一個問題是，刷新令牌會延長有效期限。 EvilTokens 頒發的令牌在密碼重設後仍然有效，有效期可達數週甚至數月，具體取決於租用戶設定。即使輪換密碼，授權也不會失效。只有明確撤銷授權，或採用需要重新授權的條件存取策略，才能關閉授權。

同意是如何正常化的

這種攻擊途徑自 OAuth 成為標準以來就一直存在，改變的是它所處的環境，使用者已經習慣像過去點擊 cookie 橫幅廣告那樣頻繁地點擊同意頁面。每個 AI 代理程式都會安裝 Surface One，每個生產力整合都會顯示一個 Surface One，每個與 SaaS 帳戶互動的瀏覽器擴充功能都會顯示一個 Surface One，知識工作者每月看到的合法同意數量遠遠超過了最初 OAuth 威脅模型編寫時的數量。

這些權限範圍本身所使用的措詞與風險並不完全對應。「讀取您的郵件」這個權限範圍聽起來似乎很有限，但實際上它涵蓋了使用者可以存取的每一則訊息、附件和共用執行緒。 「在您不在時存取檔案」則表示頒發一個長期有效的令牌，而使用者無需在電腦前操作即可撤銷該令牌。授權措詞與實際操作範圍之間的差距，正是攻擊者可乘之機。

應用程式所有者下方形成有毒組合

一次 OAuth 授權就能讓攻擊者在單一應用程式內部獲得一個有限的立足點，而當這些立足點相互連結時，更深層的風險就會產生。一位財務使用者授予人工智慧會議摘要工具存取其日曆和郵箱的權限。隨後，該用戶又授予效率助手存取公司共享驅動器的權限，第三項授權將客戶關係管理 (CRM) 資訊增強工具連接到客戶資料庫，每項授權都是逐一獲得的，沒有任何應用程式所有者批准過這種組合。現在，風險面由三個權限範圍透過同一使用者身分交叉構成，會議摘要工具的漏洞可能透過同一使用者存取合約草案和客戶記錄。

這被稱為“毒性組合”。它指的是跨應用程式的權限分離，這種分離透過 OAuth 授權、整合或 AI 代理連接起來，而沒有任何單一應用程式的所有者將其視為自身的風險面。由於這種連接存在於所有應用程式之外，因此任何單一應用程式的稽核日誌都無法發現它。

MCP 安裝、OAuth 授權點擊以及瀏覽器擴充授權：每一種都相當於一次點擊即可建立的橋樑。模型上下文協定 (MCP) 伺服器正逐漸成為下一代 OAuth 式攻擊面，它允許代理透過與授權螢幕相同的「一次信任」機制來獲取特定範圍的存取權限。

2025 年的 Salesloft-Drift事件展現了這種大規模攻擊的後果。一個被攻破的下游連接器透過客戶合法授權的 OAuth 令牌，蔓延至 700 多個 Salesforce 租用戶。每個客戶都授權了集成，但沒有客戶授權級聯攻擊。

需要檢查哪些內容

要彌補這一差距，就需要像安全程序處理身份驗證那樣處理 OAuth 授權。幾個簡單的問題就能揭示真正的差距所在。
程序規範的適用範圍終究有限，這些連接橋接存在於一個不屬於任何單一應用程式的圖譜中，它們的創建速度與 MCP 安裝或 OAuth 授權點擊的速度相當。要持續監控此圖譜，需要一個能夠監視運行時層（連接橋接實際形成的位置）的平台。

人工智慧安全平台的應用場景

一類新型平台可以自動處理很多這類事情，它們會在每次 OAuth 授權、AI 代理和第三方集成發出時立即將其映射到身份圖譜中，而不是等到下一次審計，然後將橋接器、未使用的令牌和策略偏差作為持續運行隊列呈現出來。

Reco 就是一個典型的例子。它將 AI 代理安全、身分治理和威脅偵測整合到一個統一的控制平台中，其身分知識圖譜將人類和非人類身分與它們可以存取的 SaaS 環境中的應用程式、OAuth 授權和整合連接起來。

該平台持續發現人工智慧代理和 OAuth 授權，將每個權限範圍映射回批准它的身份，監控策略偏差行為，並在令牌層級而非使用者帳戶層級撤銷存取權限。這使得安全團隊能夠了解這些信任關係實際形成的運行時層。

釣魚式授權漏洞可能不會再長期處於邊緣地位。多年來，針對防釣魚式身分驗證的投入和審查已經相當充分，而授權層目前仍主要依賴信任。要彌補這一差距，就必須對 OAuth 授權和 AI 代理連接採取與身份驗證本身相同的可見性、監控和撤銷機制。

資料來源：https://thehackernews.com/2026/05/the-new-phishing-click-how-oauth.html