Keluaran terbaru Notion 3.0 memperkenalkan ejen AI yang berkuasa yang boleh mengendalikan tugas secara autonomi merentasi ruang kerja, tetapi penyelidik keselamatan telah menemui kelemahan kritikal yang membolehkan penyerang mencuri data peribadi melalui eksploitasi bijak terhadap alat carian web.
Kelemahan ini menunjukkan apa yang dipanggil pakar sebagai trifekta maut - gabungan berbahaya yang berlaku apabila sistem AI mempunyai akses kepada data peribadi, pendedahan kepada kandungan yang tidak dipercayai, dan keupayaan untuk berkomunikasi secara luaran. Walau bagaimanapun, komuniti teknologi dengan pantas menunjukkan bahawa serangan khusus ini tidak sepenuhnya baru, kerana telah didemonstrasikan bertahun-tahun yang lalu dalam konteks yang berbeza.
Komponen "Trifecta Mematikan":
- Akses kepada data peribadi
- Pendedahan kepada kandungan yang tidak dipercayai
- Keupayaan untuk berkomunikasi secara luaran
 |
|---|
| Perbincangan mengenai risiko tersembunyi agen AI Notion 30 dan kelemahan yang berkaitan |
Kaedah Serangan Mencerminkan Taktik Phishing Klasik
Penyelidik keselamatan mendapati bahawa penyerang boleh menanamkan gesaan berniat jahat dalam dokumen PDF yang kelihatan tidak berbahaya, menggunakan teknik yang sangat serupa dengan kempen phishing tradisional. Arahan berniat jahat tersebut disembunyikan sebagai teks putih pada latar belakang putih, menjadikannya tidak kelihatan kepada pengguna manusia tetapi boleh dibaca oleh ejen AI.
Apabila pengguna memuat naik dokumen ini dan meminta AI untuk merumuskannya, gesaan tersembunyi memperdaya ejen untuk mencari data sulit dan menghantarnya ke pelayan yang dikawal penyerang melalui pertanyaan carian web. Serangan ini menggunakan taktik manipulasi psikologi termasuk penegasan autoriti, kecemasan palsu, kesahihan teknikal, dan teater keselamatan untuk meyakinkan AI supaya mematuhi.
Suntikan gesaan di sini adalah seperti kempen phishing terhadap entiti yang tidak mempunyai kesedaran atau keupayaan untuk berhenti dan mempersoalkan melalui refleksi diri.
Ciri-ciri Vektor Serangan:
- Penegasan autoriti (mendakwa sebagai "tugas rutin penting")
- Kecemasan palsu (memberi amaran tentang "akibat")
- Kesahihan teknikal (menggunakan sintaks alat khusus)
- Teater keselamatan (mendakwa tindakan adalah "pra-dibenarkan" dan "selamat")
 |
|---|
| Halaman Notion yang mempamerkan data klien sulit yang berpotensi berisiko daripada gesaan AI berniat jahat |
Masalah Asas Masih Belum Diselesaikan
Walaupun telah tiga tahun dibincangkan dalam komuniti keselamatan, masih tiada penyelesaian yang kukuh untuk masalah percampuran arahan-data yang memungkinkan serangan ini berlaku. Model AI semasa bergelut untuk membezakan dengan boleh dipercayai antara arahan sistem yang sah dan perintah berniat jahat yang tertanam dalam data pengguna.
Komuniti telah menyatakan kebimbangan bahawa syarikat seperti Notion menganggap kelemahan ini sebagai ciri dan bukannya risiko keselamatan, terutamanya apabila menggalakkan pengguna untuk menyambungkan sumber data sensitif seperti GitHub , Gmail , dan Jira tanpa amaran yang mencukupi tentang potensi risiko.
Integrasi MCP Notion 3.0:
- GitHub
- Gmail
- Jira
- Pelbagai sumber data luaran yang lain
 |
|---|
| Sebuah laporan yang merumuskan maklum balas dan kebimbangan keselamatan daripada penguji beta yang berkaitan dengan kelemahan AI |
Meluaskan Permukaan Serangan Melalui Integrasi
Integrasi MCP ( Model Context Protocol ) baru Notion meluaskan dengan ketara permukaan serangan yang berpotensi. Setiap perkhidmatan yang disambungkan menjadi vektor berpotensi untuk serangan suntikan gesaan tidak langsung, di mana kandungan berniat jahat dari sumber luaran boleh mencetuskan tindakan yang tidak diingini dalam ruang kerja Notion .
Kelemahan ini amat membimbangkan kerana ia mempengaruhi model AI terdepan seperti Claude Sonnet 4.0 , yang dianggap mempunyai pagar keselamatan terbaik dalam industri. Ini menunjukkan bahawa masalah terletak bukan sahaja pada pelaksanaan AI tertentu, tetapi pada seni bina asas model bahasa semasa.
Komuniti keselamatan terus mencari penyelesaian, dengan beberapa penyelidik meneroka perubahan seni bina yang akan memisahkan data dipercayai dan tidak dipercayai, mengehadkan operasi pada kandungan tidak dipercayai kepada transformasi kotak pasir tanpa akses rangkaian. Walau bagaimanapun, penyelesaian sedemikian masih eksperimental dan akan mengehadkan dengan ketara fungsi yang menjadikan ejen AI menarik kepada pengguna pada mulanya.
Rujukan: The Hidden Risk in Notion 3.0 AI Agents: Web Search Tool Abuse for Data Exfiltration