许多流行的 AI 客户端目前缺乏 OAuth 标准的刷新令牌(refresh-token)流程,因使用长生命周期令牌而导致安全漏洞。尽管已有针对该问题的现有解决方案,这一缺陷仍代表安全实践的倒退。本文分析了 14 个主要 AI 客户端,重点阐述其在刷新令牌实现方面的合规情况(或缺失情况),并附带相关讨论。虽然当前状况构成安全关切,但文中也提及了注重安全用户的变通方案以及开发者的最佳实践。
reddit.com
Major AI Clients Shipping With Broken OAuth Implementations
RSS Hunter
2026-05-05
Create attached notes ...