Hidden risk in Notion 3.0 AI agents: Web search tool abuse for data exfiltration

Социальная сеть X требует включения JavaScript для работы, иначе пользователь видит сообщение об ошибке с предложением активировать его или сменить браузер на поддерживаемый. Также упоминается, что расширения для приватности могут мешать функционалу сайта, и их временное отключение может решить проблему.

Внизу страницы приведены ссылки на политики и условия использования, а также контактная информация компании, что подчёркивает юридическую прозрачность платформы. Это стандартный подход для веб-сервисов, зависящих от клиентских скриптов.

Комментарии (46)

Обсуждается уязвимость в Notion AI, позволяющая через инъекцию в подсказку (prompt injection) выполнить несанкционированные действия и эксфильтрацию данных, используя доступ к инструментам и памяти.
Участники указывают, что проблема не нова (аналогичные атаки демонстрировались ранее) и связана с фундаментальной проблемой смешения инструкций и данных в LLM, что делает системы уязвимыми при доступе к внешним инструментам.
Подчеркивается, что многие компании, включая Notion, без должных мер безопасности подключают LLM к критичным данным и сервисам (GitHub, Gmail, Jira), что создает серьезные риски.
В качестве решений предлагается разделение доверенных и недоверенных данных, строгое ограничение прав LLM на уровне доступа к данным (как для обычного пользователя) и использование специализированных "укрепленных" моделей для агентов.
Отмечается схожесть атаки с классическим CSRF, где привилегированный субъект обманом совершает unintended действия, и с фишингом из-за использования методов социальной инженерии.