受广泛使用的协作平台Notion在始推出的3.0版本,增加了AI Agents作为主打功能,让代理能在工作区里自动完成创建文件、更新数据库、跨工具检索与多步骤工作流程。该更新凸显了SaaS平台向人工智能驱动自动化迈进的趋势,不过安全公司CodeIntegrity研究人员也发现其存在间接提示注入风险,代理可被恶意内容操控,借由内置的Web Search工具,将工作区内的敏感数据外流到攻击者控制的服务器。
研究人员说明,一旦用户在Notion中打开含有隐藏指令的文件,例如看似正常的PDF报告,代理在进行摘要任务时,便可能读取内部页面中的字段数据,再把这些资讯组合成字符串,嵌入URL并通过Web Search工具发出查询。
攻击者只要在服务端记录这些请求,就能取得PDF报告中公司名称、产业分类或年度经常性收入(ARR)等机密内容。研究人员指出,这是一种典型的间接提示注入攻击,其特征是代理本身没有恶意,但在被误导的场景下自动执行不符合适户初衷的动作。
Notion AI代理能够跨文件、跨数据库与外部连接器自动串联任务,权限虽然以RBAC管理,但研究也指出,当代理能自主规划动作并调用MCP(Model Context Protocol)或内置工具时,传统RBAC控制不再完全适用,威胁面因此扩大。
由于Web Search工具输入格式可接受查询字符串或URL,在研究示范中,人工智能代理将内部数据嵌入URL后,成功向攻击者控制的域名发出请求,形成数据外流信道。研究团队在测试中使用Claude Sonnet 4.0作为Notion AI Agent的底层模型,即便采用此具安全防护机制的先进模型,代理一旦缺乏严格的工具管控与出站限制,仍可能把单纯的摘要任务转为数据外流行为。
研究人员的攻击示范从PDF的摘要任务起始,风险在该场景下主要局限于处理单一内容载体时的间接提示注入。Notion 3.0更新加入了MCP与AI Connectors,代理便能从Slack、Jira、Google Drive、Gmail等外部来源截取内容,并通过MCP执行工具动作,恶意提示得以经由任一连接服务进入并触发跨工具自动化,使得风险从单一文件场景扩大到整体集成生态。
