AIが生成した文字列を無条件で信頼し、画面表示する際の危険性を解説。LLMの出力もユーザー入力と同様に悪意あるコードが含まれるリスクがあるため、適切にエスケープ処理を行うべきという教訓を紹介する。
自分のコードでHTMLインジェクションを踏んでから、AIの出力を信頼しなくなった
編集メモ: AIが生成した文字列を「ユーザー入力」と同様の攻撃リスクがあると見なし、徹底したエスケープ処理を行うことがセキュリティの観点から不可欠です。
AIが生成した文字列を無条件で信頼し、画面表示する際の危険性を解説。LLMの出力もユーザー入力と同様に悪意あるコードが含まれるリスクがあるため、適切にエスケープ処理を行うべきという教訓を紹介する。