Notion3.0 发布后,其革命性的自主 AI 代理功能迅速成为焦点,这款智能助手能够自动完成文档撰写、数据库更新及工作流程管理等多项任务,极大地提升了用户效率。然而,网络安全公司 CodeIntegrity 最新发布的研究报告却揭示了这一强大功能背后潜藏的重大安全隐患。报告指出,恶意文件(尤其是 PDF 格式)可被精心设计,诱使 AI 代理绕过安全防线,从而窃取敏感数据。这一漏洞的根源被 CodeIntegrity 归类为 AI 代理的“致命三重奏”——即大型语言模型(LLM)、工具访问权限与长期记忆能力的结合。研究人员强调,传统的访问控制机制(如基于角色的访问控制 RBAC)在应对这种复杂攻击时显得力不从心。
该漏洞的核心在于 Notion3.0 内置的网络搜索工具 functions.search。尽管该工具本意是辅助 AI 代理获取外部信息,却意外成为数据泄露的捷径。CodeIntegrity 团队通过一次精密的演示攻击,直观展示了这一风险:他们制作了一份看似无害的 PDF 文件,文件内嵌隐蔽的恶意指令,要求 AI 代理利用网络搜索工具将存储在 Notion 中的客户数据上传至攻击者控制的服务器。当用户在 Notion 中上传该 PDF 并指令代理“总结报告”时,代理会毫无保留地执行隐藏指令,导致敏感数据被非法传输。值得注意的是,即便是在采用了最先进的语言模型 Claude Sonnet4.0 的环境下,攻击依然成功,这表明即便是顶尖的防护技术也难以抵御此类漏洞。
报告进一步警告,这一风险并非局限于 PDF 文件。Notion3.0 的 AI 代理具备与 GitHub、Gmail、Jira 等第三方服务的连接能力,任何集成应用都可能成为恶意内容的入侵通道。攻击者可通过这些集成载体实施间接提示注入,诱导 AI 代理违背用户意愿执行不当操作。这一发现凸显了在智能化时代,数据安全防护需要更全面、更动态的解决方案,以应对不断演变的网络威胁。