Logo Notion subtelnie infiltrowane złośliwym PDF-em w scenerii sieci neuronowych symbolizuje wyciek danych.
Cyberbezpieczeństwo

Agenci AI w Notion 3.0 podatni na wyciek danych. Wystarczył złośliwy PDF

AI Sight

Wraz z premierą Notion 3.0, firma wprowadziła do swojego ekosystemu autonomicznych agentów AI. Ich zadaniem jest automatyzacja różnych procesów – od tworzenia dokumentów i aktualizacji baz danych, po automatyzację przepływów pracy między różnymi narzędziami. Użytkownicy mogą dostosowywać tych agentów i ustawiać harmonogramy lub wyzwalacze ich działania.

Jednak, jak wynika z raportu firmy CodeIntegrity, ta autonomia niesie ze sobą poważne zagrożenia dla bezpieczeństwa. W centrum problemu badacze umieścili trio: połączenie agentów LLM, dostępu do narzędzi i długotrwałej pamięci. Okazuje się, że tradycyjne mechanizmy kontroli dostępu, takie jak RBAC (Role-Based Access Control), nie są wystarczające, aby zapobiec nadużyciom w takim środowisku.

Jak działa atak? Złośliwy PDF kluczem do wycieku

Jedną z najbardziej niebezpiecznych funkcji jest wbudowane narzędzie do wyszukiwania w sieci (functions.search). Z założenia ma ono umożliwiać agentom Notion pobieranie informacji z zewnętrznych adresów URL. W praktyce jednak, może być z łatwością wykorzystane do eksfiltracji danych.

Aby to udowodnić, CodeIntegrity przeprowadziła demonstracyjny atak. Stworzono pozornie nieszkodliwy plik PDF, który udawał raport z opiniami klientów. Wewnątrz ukryto jednak podstępną instrukcję, przypominającą wewnętrzne polecenie służbowe. Zawierała ona kroki, które miały doprowadzić do przesłania wrażliwych danych klienta na serwer kontrolowany przez atakującego, wszystko za pomocą wspomnianego narzędzia do wyszukiwania w sieci.

Atak uruchamia się, gdy użytkownik prześle PDF do Notion i poprosi agenta o „streszczenie raportu”. Agent, posłusznie wykonując ukryte instrukcje, wydobywa dane i przesyła je przez sieć. Co ciekawe, test przeprowadzono z użyciem modelu językowego Claude Sonnet 4.0, który mimo wbudowanych zabezpieczeń również uległ tej sztuczce.

Nie tylko PDF stanowią zagrożenie

Problem nie ogranicza się wyłącznie do plików PDF. Agenci w Notion 3.0 mogą łączyć się bezpośrednio z usługami firm trzecich, takimi jak GitHub, Gmail czy Jira. Każda z tych integracji może stać się wektorem pośrednich ataków typu prompt injection. W takim scenariuszu złośliwa treść jest przemycana do systemu i wykorzystywana do manipulowania działaniami AI, zgodnie z intencjami atakującego.

Odkrycie CodeIntegrity stawia pod znakiem zapytania bezpieczeństwo autonomicznych agentów AI w Notion 3.0. Pokazuje, że nowe funkcjonalności, choć obiecujące, wymagają gruntownego przemyślenia w kontekście potencjalnych zagrożeń.

Zobacz również

Rozbity Union Jack scalany przez neuronowe sieci na tle cyfrowego chaosu i oka z obwodów.

Brak polityki AI to ryzyko dla firm: CyXcel alarmuje o luce w zabezpieczeniach brytyjskich przedsiębiorstw

AI Sight
Stado origami ptaków wylatujących z serwerowni, symbolizujące innowacje OpenAI i bezpieczeństwo API.

OpenAI szykuje ofensywę nowości: tańszy model graficzny i narzędzia bezpieczeństwa API na horyzoncie

AI Sight
Sztuczna inteligencja zagrożona: świetlista sieć neuronowa za szkłem, atakowana przez złośliwy kod w ciemnym centrum danych.

Sztuczna inteligencja jako powierzchnia ataku: Jak zarządzać ryzykiem w obliczu rosnącej produktywności

AI Sight

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *