Persistent OAuth Tokens: 攻击者利用的后门

执行摘要

根据2026年5月5日《黑客新闻》发布的一份报告，在企业云环境中存在一个普遍的安全漏洞——由AI工具、工作流自动化和生产力应用集成留下的不失效的OAuth令牌——大多数组织基本上没有监控。这些持久令牌是在员工将第三方服务连接到Google Workspace或Microsoft 365时授予的，它们没有自动过期或清理机制。攻击者一旦破坏了一个令牌，就可以绕过多因素认证（MFA）和传统的边界控制，获得对电子邮件、文件和API的持久访问权限。

技术分析

当用户授权第三方应用程序代表他们访问资源时，就会生成OAuth令牌——例如，授权AI写作助手访问Google Docs或工作流自动化工具访问SharePoint。《黑客新闻》的报告指出，许多这些令牌没有颁发过期日期，这意味着除非明确撤销，否则它们将无限期有效。与会话cookie或刷新令牌不同，这些长期存在的令牌存储在云租户的令牌缓存中，大多数安全监控工具无法看到。

攻击向量是直接的：攻击者通过钓鱼、凭证填充或第三方供应商被破坏获得初始访问权限后，可以在受害者租户中枚举授权的OAuth令牌。一旦确定了令牌，攻击者就可以使用它作为原始用户进行身份验证，而不会触发MFA，因为令牌本身就是身份验证工件。报告指出，超过60%的组织没有监控或警报措施来应对陈旧或异常的OAuth令牌使用。

Microsoft和Google都提供了列出和撤销OAuth授权的行政API，但报告强调这些功能使用不足。问题因2025-2026年AI驱动的生产力工具的激增而加剧，每个工具都需要OAuth范围，通常包括对电子邮件、日历和文件存储的读写访问权限。

缓解措施与建议

防御者应优先使用内置的管理控制台或第三方身份安全工具，审计其租户中的所有OAuth授权——包括Google Workspace和Microsoft 365。关键行动包括：撤销不再使用的应用程序的令牌；在支持的地方执行令牌过期策略；实施需要对敏感范围进行升级身份验证的条件访问策略。《黑客新闻》报告建议部署持续监控，以监测异常令牌使用模式，例如从不熟悉的IP地址使用令牌或在长时间不活动后使用令牌。