微新创想:安全公司 Noma 近日发布研究报告 揭示了开源监控与数据可视化平台 Grafana 的 AI 助手功能中存在的一项名为“GrafanaGhost”的安全漏洞
该漏洞允许黑客利用“间接提示注入”方式 诱导 AI 助手将企业的敏感数据泄露至外部服务器
“间接提示注入”是一种静默的数据窃取手段 据研究人员介绍 Grafana 内置的 AI 助手允许用户通过自然语言查询和分析监控数据 然而 黑客可以在 Grafana 能够访问的外部网页中嵌入恶意指令 当 AI 助手解析这些受污染的内容时 可能会被误导绕过现有的安全机制 触发对外请求
敏感信息会以 URL 参数的形式发送到黑客控制的服务器 由于整个过程不会产生明显的报错提示 普通用户往往难以察觉异常
针对这一漏洞 Grafana Labs 首席安全官 Joe McManus 表示 公司在收到通报后已迅速修复了相关问题 他同时强调了该漏洞的局限性 该漏洞不属于“零点击”或“自主攻击”类型 黑客需要先获得用户端的访问权限 才能主动与 AI 助手交互
实现恶意操作通常需要多次交互触发 而非一次性完成 Grafana Labs 进一步表示 目前没有证据表明该漏洞已被实际利用 也未发现其云服务(Grafana Cloud)存在数据泄露的情况
官方呼吁用户无需过度紧张 并建议及时关注并更新至已修复的安全版本 以确保监控环境的安全性
