Оглавление

Новые автономные ИИ-агенты в Notion 3.0 демонстрируют серьезную уязвимость безопасности: их можно обмануть и заставить раскрывать конфиденциальные данные через обычные PDF-файлы, сообщает The Decoder.

Опасная комбинация: агенты, инструменты и память

С выпуском Notion 3.0 компания представила автономных ИИ-агентов, способных самостоятельно выполнять задачи: от создания документов и обновления баз данных до автоматизации рабочих процессов. Однако, согласно отчету CodeIntegrity, эта автономность создает серьезные риски безопасности.

Исследователи называют это «смертельной троицей»: комбинация агентов LLM, доступ к инструментам и долговременная память. Традиционные системы контроля доступа типа RBAC не способны предотвратить злоупотребления в такой конфигурации.

Как работает атака через PDF

Одной из самых опасных функций является встроенный инструмент веб-поиска functions.search. Он предназначен для получения информации из внешних URL, но его можно легко манипулировать для эксфильтрации данных.

CodeIntegrity продемонстрировала атаку на практике:

  • Создан безобидный PDF-файл, замаскированный под отчет об обратной связи клиентов
  • Внутри скрыт промпт, имитирующий внутренние рабочие инструкции
  • Инструкции включают шаги по загрузке конфиденциальных данных на контролируемый злоумышленником сервер

Эксплойт срабатывает, когда пользователь загружает PDF в Notion и просит агента «обобщить отчет». Агент добросовестно следует скрытым инструкциям, извлекает данные и передает их по сети.

Ирония в том, что даже современные модели типа Claude Sonnet 4.0 с защитными механизмами поддаются этой уловке. Это напоминает, что безопасность ИИ-агентов — это не просто вопрос улучшения моделей, а системная проблема, требующая принципиально новых подходов к проектированию архитектуры. Производители спешат выпускать «умных» агентов, но забывают, что ум без иммунитета к манипуляциям становится угрозой.

Широкий спектр угроз

Проблема выходит за рамки PDF-файлов. Агенты Notion 3.0 могут подключаться к сторонним сервисам:

  • GitHub
  • Gmail
  • Jira
  • Другие интеграции

Любая из этих интеграций может стать вектором для косвенных инъекций промптов, где вредоносный контент используется для того, чтобы заставить ИИ действовать против воли пользователя.

Эта уязвимость подчеркивает фундаментальную проблему современных ИИ-агентов: чем больше возможностей мы им даем, тем сложнее обеспечить их безопасность. Производителям придется выбирать между функциональностью и защитой, пока не будут разработаны принципиально новые механизмы безопасности.