随着 Notion3.0的发布,其全新的自主 AI 代理功能备受关注,该功能旨在帮助用户自动完成起草文档、更新数据库和管理工作流程等任务。然而,网络安全公司 CodeIntegrity 最新的一份报告揭示了这些 AI 代理存在一个严重的安全漏洞,即恶意文件(如 PDF)可被利用,诱导代理绕过安全防护并窃取敏感数据。
CodeIntegrity 将这一漏洞归因于 AI 代理的“致命三重奏”:大型语言模型(LLM)、工具访问权限和长期记忆的结合。研究人员指出,传统的访问控制措施(如基于角色的访问控制 RBAC)在这种复杂环境中无法提供足够保护。
该漏洞的核心是 Notion3.0的内置网络搜索工具 functions.search。尽管其初衷是帮助 AI 代理获取外部信息,但该工具却极易被操纵以窃取数据。
为了证明这一点,CodeIntegrity 团队进行了一次演示攻击:他们创建了一份看似无害的 PDF 文件,其中包含一条隐藏的恶意指令,指示 AI 代理通过网络搜索工具将敏感客户数据上传到攻击者控制的服务器。一旦用户将该 PDF 上传至 Notion 并要求代理“总结报告”,代理便会忠实地执行隐藏指令,提取并传输数据。值得注意的是,该攻击在使用了最先进的语言模型 Claude Sonnet4.0的情况下依然成功,表明即使是先进的防护措施也未能阻止这一漏洞。
报告同时警告,这一问题不仅限于 PDF 文件。Notion3.0的 AI 代理能够连接到 GitHub、Gmail 或 Jira 等第三方服务,任何集成都有可能成为间接提示注入的载体,恶意内容可以借此潜入,诱导 AI 代理执行不当行为,从而违背用户的初衷。
