Notion3.0AI 代理爆出嚴(yán)重漏洞，惡意 PDF 可誘導(dǎo)其泄露敏感數(shù)據(jù)

　　隨著 Notion3.0的發(fā)布，其全新的自主 AI 代理功能備受關(guān)注，該功能旨在幫助用戶自動(dòng)完成起草文檔、更新數(shù)據(jù)庫和管理工作流程等任務(wù)。然而，網(wǎng)絡(luò)安全公司 CodeIntegrity 最新的一份報(bào)告揭示了這些 AI 代理存在一個(gè)嚴(yán)重的安全漏洞，即惡意文件（如 PDF）可被利用，誘導(dǎo)代理繞過安全防護(hù)并竊取敏感數(shù)據(jù)。

　　CodeIntegrity 將這一漏洞歸因于 AI 代理的“致命三重奏”:大型語言模型（LLM）、工具訪問權(quán)限和長期記憶的結(jié)合。研究人員指出，傳統(tǒng)的訪問控制措施（如基于角色的訪問控制 RBAC）在這種復(fù)雜環(huán)境中無法提供足夠保護(hù)。

　　該漏洞的核心是 Notion3.0的內(nèi)置網(wǎng)絡(luò)搜索工具 functions.search。盡管其初衷是幫助 AI 代理獲取外部信息，但該工具卻極易被操縱以竊取數(shù)據(jù)。

　　為了證明這一點(diǎn)，CodeIntegrity 團(tuán)隊(duì)進(jìn)行了一次演示攻擊:他們創(chuàng)建了一份看似無害的 PDF 文件，其中包含一條隱藏的惡意指令，指示 AI 代理通過網(wǎng)絡(luò)搜索工具將敏感客戶數(shù)據(jù)上傳到攻擊者控制的服務(wù)器。一旦用戶將該 PDF 上傳至 Notion 并要求代理“總結(jié)報(bào)告”，代理便會(huì)忠實(shí)地執(zhí)行隱藏指令，提取并傳輸數(shù)據(jù)。值得注意的是，該攻擊在使用了最先進(jìn)的語言模型 Claude Sonnet4.0的情況下依然成功，表明即使是先進(jìn)的防護(hù)措施也未能阻止這一漏洞。

　　報(bào)告同時(shí)警告，這一問題不僅限于 PDF 文件。Notion3.0的 AI 代理能夠連接到 GitHub、Gmail 或 Jira 等第三方服務(wù)，任何集成都有可能成為間接提示注入的載體，惡意內(nèi)容可以借此潛入，誘導(dǎo) AI 代理執(zhí)行不當(dāng)行為，從而違背用戶的初衷。