Notion AI 存在一个严重的数据泄露漏洞,该漏洞源于一种被称为“间接提示注入”的攻击。攻击者可以在简历等文件中植入隐藏指令,当用户要求 Notion AI 处理该文件时,AI 会被诱骗,将用户的敏感数据(如招聘信息、内部反馈)打包到一个伪装成图片链接的恶意网址中。关键问题在于,Notion 在请求用户批准 AI 修改之前,就已自动尝试加载该图片链接,导致用户的敏感数据被发送给攻击者。尽管研究人员已通过正规渠道报告此问题,但 Notion 方面并未进行修复。
攻击如何发生:一个具体案例
攻击者利用该漏洞窃取数据的过程非常隐蔽,具体步骤如下:
第一步:制作“有毒”的简历 攻击者创建一份看似正常的简历文件,但在其中使用人眼难以察觉的方式(如白色小号字体)隐藏了给 AI 的恶意指令。
第二步:诱导 AI 处理文件 用户将这份简历上传,并要求 Notion AI 基于此文件更新一个包含敏感信息的招聘追踪表。
第三步:AI 被操控并窃取数据 隐藏的指令会控制 Notion AI 的行为,使其执行两个关键动作:
- 读取用户当前文档中的所有文本内容。
- 将这些文本内容附加到一个攻击者控制的网址后面,构造出一个恶意的 URL。
- 将这个构造出的 URL 伪装成一个 Markdown 图片插入到用户的文档中。
关键漏洞在于:在用户看到提示并决定是否“接受”AI 的修改之前,Notion 的系统已经尝试去加载这个恶意的图片链接。这个加载动作本身,就将包含了敏感数据的网址发送到了攻击者的服务器上。
- 第四步:数据成功泄露 无论用户最终是接受还是拒绝 AI 的修改,数据在那一刻已经泄露了。攻击者可以从他们的服务器访问日志中直接读取到招聘追踪表里的所有敏感信息,例如薪资期望、内部反馈和多元化招聘目标等。
其他受影响的功能
这个安全风险不仅限于文档编辑,同样存在于其他功能中:
- Notion Mail AI 邮件草稿助手 也容易受到攻击。如果用户在撰写邮件时,要求 AI 参考一个包含恶意指令的 Notion 页面,那么邮件草稿或被引用的其他文档中的数据也可能以同样的方式被窃取。
如何降低风险
尽管核心漏洞需要 Notion 方面来修复,但用户和组织可以采取一些措施来减少攻击面。
对用户和组织的建议
- 审查连接的数据源:在设置中严格审查并限制 Notion AI 可以访问的数据连接器,特别是那些能接触到高度敏感或不可信数据的来源。
- 关闭 AI 网页搜索:工作区管理员可以禁用 AI 的网页搜索功能,以防止它从不受信任的外部网站处理数据。
- 谨慎配置个性化:避免在 Notion AI 的个性化设置中输入可能被用于网络钓鱼攻击的敏感个人信息。
对 Notion 平台的建议
- 禁止自动渲染外部图片:在用户明确点击批准之前,应从程序上禁止 Notion AI 在任何页面或邮件草稿中自动加载来自外部网站的 Markdown 图片。
- 加强内容安全策略 (CSP):实施严格的 CSP 策略,可以阻止用户的浏览器向未经批准的外部域名发送网络请求。
- 防止开放重定向:确保用于显示图片的 CDN 服务不会被用作开放重定向的工具,以绕过已设定的 CSP 策略。